Win32.Troj.Agent.bl.77824 手动专杀及 病毒资料

这是一个具有对抗安全软件能力的病毒下载器。它通过重定位内核文件恢复系统的SSDT表，从而使一些具有所谓“主动防御”的安全软件失效。接着，就连接远程地址，下载其它病毒。

释放驱动文件,通过重定位内核文件恢复SSDT表.
后台下载恶意软件,创建注册表启动项.

病毒判断当前的操作系统是否 2000、XP或2003,如果不是则不释放驱动文件.

病毒读取自身资源,在 %Temp% 文件夹下释放临时文件,把资源数据写入.(驱动文件)

调用 NtQuerySystemInformation 获得内核文件的名称后,调用相关API加载内核文件得到 KeServiceDescriptorTable 的RVA,然后分析内核文件的重定位表中对此RVA的引用,获取SSDT及系统函数的原始地址.

创建服务名为"winsync32"的系统服务,服务路径指向释放在 %Temp% 文件夹下的临时文件.(驱动文件)

病毒自身提权,把自身复制至 %systemroot%\system32\msosiocp.dll.

枚举进程,把 %systemroot%\system32\msosiocp.dll 注入至 explorer.exe 的进程空间.

从后台下载 http:/ /c.1**dm.com/okok.txt 保存至 %Temp% 下,获取其内容下载恶意程序并执行.

创建注册表:
Key: HKEY_CLASSES_ROOT\CLSID\{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}\InprocServer32
Value: ""
Data: "%systemroot%\system32\msosiocp.dll"

Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Value: "{AE27505C-C46F-4eb2-9A17-5D1E1F46BC09}"
Data: ""