病毒名称。此病毒为一个多线程病毒，病毒运行后，获得当前文件路径和系统%Temp%路径，判断当前运行文件是否是“%HomeDrive%\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\explorer.exe”若不是则复制原病毒文件到“C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动”目录内，命名为explorer.exe并创建新线程运行程序；若是则建立新线程运行文件。病毒衍生文件、创建启动项、连接网络下载文件、利用bat文件自删除。

病毒标签

行为分析

清除方案

病毒标签

病毒名称： Trojan.Win32.Agent.ksq

病毒类型： 木马

文件 MD5： 2B6D4988F6EE560E6B55C2E0F60B9EDC

公开范围： 完全公开

危害等级： 5

文件长度： 10,920 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++

行为分析

本地行为

1、 病毒衍生文件到目录：

%HomeDrive%\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\explorer.exe 10,920 字节

内，使程序能随系统启动而运行。用explorer.exe做文件名来迷惑用户。

2、注册服务

[HKLM\\System\\CurrentControlSet\\Services]

注册表值： "IIS Manager "

类型： REG_SZ

值： "c:\\documents and settings\\qiuniao\\local settings\\temp\\1.tmp "

此服务启动后，文件即被删除。

[HKLM\\System\\CurrentControlSet\\Services]

注册表值： "extrem.sys"

类型： REG_SZ

值： " C:\\DOCUME~1\\qiuniao\\LOCALS~1\\Temp\\extrem.sys "（找不到文件）

[HKLM\\System\\CurrentControlSet\\Services]

注册表值： "rdtsc"

类型： REG_SZ

值： "C:\\DOCUME~1\\qiuniao\\LOCALS~1\\Temp\\rdtsc"（找不到文件）

3、 病毒创建bat文件删除自身

病毒在%HomeDrive%创建文件_uninsep.bat。次文件循环查看病毒运行目录当遇到病毒文件时将其删除。

文件内容如下：

:Repeat

del "C:\\Documents and Settings\\qiuniao\\桌面\\dumped_.exe"

if exist "C:\\Documents and Settings\\qiuniao\\桌面\\dumped_.exe" goto Repeat

其中C:\\Documents and Settings\\qiuniao\\桌面\\dumped_.exe为病毒原文件。

网络行为

病毒访问网络：

协议：TCP/IP

地址：www.lwe****.cn（218.61.17.***）

端口：80

行为：GET /pao.txt

返回信息：

HTTP/1.0 502 Bad Gateway

Server: squid/2.6.STABLE21

Date: Mon, 08 Sep 2008 02:59:01 GMT

Content-Type: text/html

Content-Length: 1101

Expires: Mon, 08 Sep 2008 02:59:01 GMT

X-Squid-Error: ERR_READ_ERROR 54

X-Cache: MISS from localhost

Connection: close

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是C:\\Windows\\System32

清除方案

1、使用安天防线可彻底清除此病毒（推荐）。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线或ATOOL进程管理结束病毒进程：进程命为explorer.exe，映像路径为：%HomeDrive%\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\ 。

(2)打开注册表编辑器删除以下注册表键值：

[HKLM\\System\\CurrentControlSet\\Services]

注册表值： "IIS Manager "

类型： REG_SZ

值： "c:\\documents and settings\\qiuniao\\local settings\\temp\\1.tmp "

[HKLM\\System\\CurrentControlSet\\Services]

注册表值： "extrem.sys"

类型： REG_SZ

值： " C:\\DOCUME~1\\qiuniao\\LOCALS~1\\Temp\\extrem.sys "（找不到文件）

[HKLM\\System\\CurrentControlSet\\Services]

注册表值： "rdtsc"

类型： REG_SZ

值： "C:\\DOCUME~1\\qiuniao\\LOCALS~1\\Temp\\rdtsc"（找不到文件）

3、删除病毒的衍生文件：

%HomeDrive%\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\explorer.exe 10,920 字节

%HomeDrive%\\_uninsep.bat 文件大小与病毒文件名即路径有关