Win32.Hack.Agent.ah
病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
26220
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个AV新变种。该病毒利用映像劫持的技术屏蔽杀软和安全软件。利用深层隐藏技术把AUTO病毒保护起来,极轻易在用户打开盘符时再次破坏系统、破坏安全模式、盗号等行为。
1.病毒运行后,生成以下病毒文件
%ProgramFiles%\meex.exe
%ProgramFiles%\Commonfiles\MicrosoftShared\atthdop.exe
%ProgramFiles%\Commonfiles\MicrosoftShared\hpbnijr.inf
%ProgramFiles%\Commonfiles\System\hpbnijr.bat
%ProgramFiles%\Commonfiles\System\udchniv.exe
2.该病毒运行成功后会自行删除源文件。
3.瞬间,在系统盘目录下会产生许多bat病毒文件。
4.在注册表中添加了注册项,如下:
HKCU\Software\nfcjdo
HKCU\Software\syjtmy
HKLM\software\Microsoft\windows\CurrentVersion\Run
HKLM\software\microsoft\windowsNT\CurrentVersion\ImageFileExecutionOption(映像劫持)
5.在启动项,可以发现有数个病毒启动项,分别是:
启动项名:udchniv对应路径:%ProgramFiles%\CommonFiles\System\udchniv.exe
启动项名:atthdop对应路径:%ProgramFiles%\CommonFiles\MicrosoftShared\atthdop.exe
启动项名:GenProtect对应路径:%WINDOWS%\GenProtect.exe
启动项名:cmdbcs对应路径:%WINDOWS%\cmdbcs.exe
病毒会依靠启动项,每次随着系统启动,病毒则自动跑起来。
6.病毒会将大部分的杀毒软件和安全软件禁闭,如卡巴斯基、金山毒霸、瑞星、SRENG、冰刃等。
7.病毒深层隐藏病毒源。当用户打开%ProgramFiles%\CommonFiles时,会发现找不到system和Microsoftshared
文件夹。即使能通过各种方法找到这个文件夹,当病毒监测到用户打开该文件夹时,便会立即关闭,并且再次触发
病毒。
8.其实在各盘里,都隐藏了一个auto病毒,然而该病毒无论通过什么方法都无法显示出来,而需要冰刃才能
看到。(用户假如不用冰刃查看的话,很轻易被其深层的隐藏功能所迷惑,当再双击进入盘符时,病毒将卷土重来)
9.在任务治理器中有数个病毒进程,但是atthdop.exe进程是无法结束,这个进程是最要害的病毒进程,无法轻易结束。
10.该病毒会破坏安全模式,是AV病毒的新变种。
11.该病毒也有盗号的功能。
