Trojan-Dropper.Win32.Agent.ats 是一种木马性病毒，其中文名字叫中文上网。该病毒运行后，衍生病毒文件到系统目录下。添加注册表启动项，以达到开机加载病毒体的目的。

简介

行为分析(衍生下列副本与文件 下载文件列表 新建注册表键值： 连接下列网址)

清除方案

简介

病毒名称： Trojan-Dropper.Win32.Agent.ats

中文名称： 中文上网

病毒类型： 木马

文件 MD5： C9A2539F67683DE533CC757AAA9369C6

公开范围： 完全公开

危害等级： 中等

文件长度： 363,520 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual C++ 6.0

加壳类型： ASPack 2.12 -> Alexey Solodovnikov

命名对照： 无

病毒描述：

连接某网址，下载病毒文件到本机运行，添加系统服务项，插入IE的BHO对象。并衍生文件到%System32\\Drivers%目录下，造成卸载困难。

行为分析

衍生下列副本与文件

%Program Files%\\CNNIC

%Program Files%\\CNNIC\\Cdn\\Images\\

%Program Files%\\CNNIC\\Cdn\\Update\\

%Program Files%\\CNNIC\\Cdn\\cdnaux.dll

%Program Files%\\CNNIC\\Cdn\\cdnforie.dll

%Program Files%\\CNNIC\\Cdn\\cdnprh.dll

%Program Files%\\CNNIC\\Cdn\\cdnunins.exe

%Program Files%\\CNNIC\\Cdn\\cdnup.exe

%Program Files%\\CNNIC\\Cdn\\idnconvs.dll

%Program Files%\\CNNIC\\Cdn\\cdnvers.dat

%Program Files%\\CNNIC\\Cdn\\src.dat

%WINDOWS\\system32%\\cdndisp.tmp

%WINDOWS\\system32%\\cdnns.dll

%WINDOWS\\system32%\\cdnprot.dat

%WINDOWS\\system32\\drivers%\\cdnprot.sys

下载文件列表

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\cdn.dll

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\cdnaux.dll

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\cdnforie.dll

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\cdnins.dll

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\cdnprh.dll

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\cdnprot.dat

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\cdnprot.sys

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\idnconvs.dll

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\setup.exe

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\cdnup.exe

新建注册表键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\CdnCtr键值: 字符串:"%ProgramFiles%\\CNNIC\\Cdn\\cdnup.exe"

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Browser Helper Objects键值: 字符串: “%programfiles%\\cnnic\\cdn\\cdnforie.dll”

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\cdnprot\\DescriptionName键值: 字符串: "cdnprot"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\cdnprot\\ImagePath

键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节system32\\drivers\\cdnprot.sys.

连接下列网址

update.*****.cn(***.208.170.72)

jump.*****.cn:80(***.241.97.33)

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案

：

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

cdnup.exe

(2) 删除病毒衍生文件

%Program Files%\\CNNIC\\

%WINDOWS\\system32%\\cdndisp.tmp

%WINDOWS\\system32%\\cdnns.dll

%WINDOWS\\system32%\\cdnprot.dat

%WINDOWS\\system32\\drivers%\\cdnprot.sys

%Documents and Settings\\用户名\\Local Settings\\Temp\\%1C\\

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\CdnCtr键值: 字符串:"%ProgramFiles%

\\CNNIC\\Cdn\\cdnup.exe"

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Browser Helper Objects键值: 字符串: “%programfiles%\\cnnic\\cdn\\cdnforie.dll”

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\cdnprot\\DescriptionName键值: 字符串: "cdnprot"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services

\\cdnprot\\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节system32\\drivers\\cdnprot.sys.