Adware/Slagent

病毒长度：17,408 Bytes

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

Adware/Slagent是用VC++编写并经UPX压缩的木马，它试图杀死各类反病毒进程，并有能力从特定的URL下载自身的更新文件。

传播过程及特征：

1.插入下列文件：

%Windir%\avpmc\\Uninstall.exe

%Windir%\avpmc\avpmc.exe

%Windir%\avpmc\\2_info_persist

%Windir%\avpmc\\2_navpmc.dll

2.修改注册表：

/添加键值：

"cpntmgc" = "%windows%\avpmc\avpmc.exe"

"MC" = ""

到注册表：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

/添加键值:

"UninstallString" = "%windows%\avpmc\avpmc.exe"

"DisplayName" = "navpmc"

到注册表：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\UnInstall

/添加下列子键：

HKEY_CLASSES_ROOT\\TypeLib\\{BA49BD6A-039C-428E-AF33-8C1288D75A7B}

HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\MagicControl.MagicComponent.1

HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\MagicControl.MagicComponent

HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\CLSID\\{D7A82A12-05F5-42D8-B30D-6EF995075D2D}

HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\Interface\\{6D3F48F4-B40A-4C3F-A95C-85E23C3A8A91}

HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\TypeLib\\{BA49BD6A-039C-428E-AF33-8C1288D75A7B}

3.校验是否能连接到指定的站点，并能从站点下载内容。

4.试图结束下列进程：

Symproxysvc.exe

Smc.exe

Persfw.exe

Agentw.exe

Zonealarm.exe

Blackice.exe

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000), 或

C:\\Windows\\System32 (Windows XP)。