病毒名称：特洛伊病毒Win32.Pruserinf Family

其它名称：Trojan:Win32/Agent (MS OneCare), TROJ_DLOADE (Trend), W32.Mariofev (Symantec), W32/Mariofev.worm (McAfee)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

具体介绍：

病毒特性：

Win32/Pruserinf是一族特洛伊病毒，能够下载恶意文件，并降低系统安全设置。Win32/Pruserinf的一些变体尝试通过网络共享传播。

感染方式：

运行时，Win32/Pruserinf 修改%System%\\user32.dll文件来感染系统。病毒使用任意名称复制"user32.dll"文件，并修改一下注册表键值：

病毒将以下键值：

HKLM\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows\\AppInit_DLLs

修改为：

HKLM\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows\\<2randomletters>pInit_DLLs

例如，可能修改为：

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\ukpInit_Dlls

特洛伊随后复制%System%\\user32.dll 和 %System%\\Dllcache\\user32.dll为一个新的文件'%System%\\'。这就是说如果Windows文件保护尝试恢复"user32.dll"文件，病毒仍然会复制一个修改的特洛伊文件到%System%目录中。

Win32/Pruserinf 还会复制%System%\tpl.bin，随后生成以下文件：

%System%\vrsma.dll

%System%\view.dll

%System%\\ModCBackSocks.dll

%System%\\ModSniffer.dll

%System%\\ModLightHTTPcom.dll

一些文件可能使用不同的文件名被加密，例如不同的变体可能使用以下名称：

Win32/Pruserinf.A

Win32/Pruserinf.E

Win32/Pruserinf.G

cc.ln

bmf.cs

bmf.cs

lght.ln

ccs.so

ccs.so

msnf.ln

gh.l

ho.ln

pryx.ln

mn.n

ko.o

sbmf.ln

yl.po

mn.n

上述文件被检测出是Win32/Pruserinf病毒。

系统重启后，这些文件被解密，并使用任意值被写入以下键值：

HKLM\\SOFTWARE\\1

HKLM\\SOFTWARE\\2

Pruserinf 设置以下注册表键值：

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\<2randomletters>pInit_Dll = "nvrsma"

允许生成的"nvrsma.dll"文件在下一次重启后加载到"winlogon.exe"中。使用初期，特洛伊使用两个任意字母，例如：

HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\ukpInit_Dll = "nvrsma"

Pruserinf生成一个任意名称的文件'%Temp%\\'，随后生成%Windows%\\1.bat，这是一个批处理文件，在临时文件运行之后用来删除临时文件。

这个临时文件生成%System%\\Drivers\\ecaehhld.sys文件，并作为一个服务加载。

特洛伊还生成%Windows%\\sys.log文件，用来保存特定的系统数据。

另外，Pruserinf 将自身设置为以下服务：

Service Name: SSCn

Service File: %Root%\\acl.exe

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

传播方式：

通过网络共享传播

一些变体显示出蠕虫的特征，尝试通过以下口令访问网络共享：

123

666

777

1212

1313

123456

!@#

adm

admin

administrator

asa

pass

password

qaz

qazxsw

qqq

qwerty

test

zaq

zaqwsx

zzz

随后Pruserinf 通过共享复制到%Root%\\acl.exe。

注：%Root%是一个可变的路径。病毒通过查询操作系统来决定Root文件夹的位置。

一般在以下路径 C:\\。

危害：

下载并运行任意文件

Win32/Pruserinf 尝试从66.36.241.45 IP地址下载并运行文件。

降低安全设置

Pruserinf变体尝试降低系统安全性，通过删除与下列安全产品相关的键值：

Antivir

Arovax_AntiSpyware

Avast

Avg

Bitdefender

Clam

DrWeb

Etrust

Frisk

hp_RedPill

hp_vmio

Kaspersky

McAfee

McAfeeAntiSpyware

Nod32

Panda

SpyAdware

SpyBlaster

SpyBot

SpyDoctor

SpySweeper

Spyware_Begone

Symantec

Ukranian_Antivirus_Center

VBA32

VMware

Vmware_Tools

Windefender

生成服务

Win32/Pruserinf变体生成以下服务：

Service Name: AVZBC

Service File: %System%\\drivers\\ecaehhld.sys

Type: Kernel Mode Driver

这个文件是AVZ Antivirus的AVZ Boot Cleaner，内容具有潜在危害性。

修改注册表设置

Win32/Pruserinf生成以下注册表键值：

HKLM\\SOFTWARE\\1

HKLM\\SOFTWARE\\1\\: \\

HKLM\\SOFTWARE\\1\\: 0x

HKLM\\SOFTWARE\\1\\: 0x00000000

HKLM\\SOFTWARE\\6

HKLM\\SOFTWARE\\6\\: \\

HKLM\\SOFTWARE\\6\\: 0x

HKLM\\SOFTWARE\\6\\: 0x00000001

HKLM\\SOFTWARE\\7

HKLM\\SOFTWARE\\7\\: \\

HKLM\\SOFTWARE\\7\\: 0x

HKLM\\SOFTWARE\\7\\: 0x00000000

HKLM\\SOFTWARE\\8

HKLM\\SOFTWARE\\8\\: \\

HKLM\\SOFTWARE\\8\\: 0x

HKLM\\SOFTWARE\\8\\: 0x00000000

HKLM\\SOFTWARE\\9

HKLM\\SOFTWARE\\9\\: \\

HKLM\\SOFTWARE\\9\\: 0x

HKLM\\SOFTWARE\\9\\: 0x00000000

运行后，Pruserinf通过查找HKLM\\Software\\1键值来确认病毒是否已经安装在系统上。

特洛伊还会为AVZBC服务生成以下注册表键值：

HKLM\\SYSTEM\\CurrentControlSet\\Services\\AVZBC

保存全球唯一标识码

特洛伊生成一个注册表键值用来保存全球唯一识别码，例如，Win32/Pruserinf.A会设置以下键值：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\mid: 82D391DE27CC480EB67DB68B58375A9241EBEB5636814354851F23DD23374BF7

清除：

KILL防病毒软件最新版本可检测/清除此病毒。