Win32.Troj.Agent.208896 手动专杀及 病毒资料

这是一个蠕虫病毒程序。病毒采用文件夹图标，让用户误以为是它文件夹而点击。当被激活后，它会搜索系统中的Outlook工具，调用它来向用户的全部联系人发送携带病毒的信件。

1.程序运行后，生成文件
C:\Documents and Settings\All Users\[开始]菜单\程序\启动\启动.scr

枚举磁盘目录，在每个根目录下释放下列文件：

WINDOWS.EXE 病毒主体程序
coment.htt 利用IE漏洞调用同一个目录下的"WINDOWS.EXE"，属性为隐藏。
desktop.ini 系统为隐藏。采用web方式浏览文件夹时，系统会调用该文件，该文件调用coment.htt ，从而激活病毒。

2.病毒修改注册表的系统设置，隐藏已知的类型的文件后缀名称、不显示具有隐藏属性的文件，把自己伪装成一个文件夹。

HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced\HideFileExt = 0x1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 0x0

3.病毒会生成文件C:\_uninsep.bat，不断删除自身。

　4.病毒首次运行时，将自己复制到系统的字体路径（比如C:\WINNT\FONTS\）。名称是四位随机数字和字母,扩展名为"com"。

病毒在注册表的启动项添加“TempCom”。系统下次启动，会运行病毒程序 。

5.在根目录下释放NetHood.htm,用户看不到coment.htt和desktop.ini，WINDOWS.EXE被隐藏后缀名，又是文件夹图标，

用户极容易认为是文件夹而点击。

6.病毒使用“cmd /c net view >D:\net.txt ”命令查找网络上的计算机，试图感染更多用户电脑。病毒名称采用上级目录，

或者是当前窗口的标题，增加欺骗性。

7.病毒调用Outlook发送携带病毒的信件。 发信人邮箱为“Mywoman@163.com”搜索Microsoft Outlook地址薄里的所有邮件地址，

将自己以邮件附件的形式发出去，试图感染更多用户电脑。