Win32.hack.Agent.36864 手动专杀及 病毒资料

这是一个木马下载风险程序。它主要通过网页木马、文件捆绑、移动存储介质方式传播。木马的图标会伪装成Windows默认的可执行文件图标，扩展名为exe，骗过用户的注意或诱惑用户点击。

1.程序运行后，生成文件
%system32%\Security.exe

2.病毒修改注册表键值：
项：HKLM\SYSTEM\CurrentControlSet\Services\Privilege\
键值：DisplayName
指向数据：Performance Logs and Ale
项：HKLM\SYSTEM\CurrentControlSet\Services\Privilege\
键值：ImagePath
指向文件：％systemroot％\system32\Security.exe
项：HKLM\SYSTEM\CurrentControlSet\Services\Privilege\
键值：Description
指向数据：Intel Registry Service
项：HKLM\SYSTEM\CurrentControlSet\Services\Privilege\
键值：Start
指向数据：02

3.木马执行后，检测%system32%\drivers目录下是否存在驱动文件klif.sys，如果存在则以命令行的方式修改系统时间，使部分杀毒软件不能正常使用；
拷贝自身到system32目录下，重命名为Security.exe，修改文件属性为隐藏、系统；用SCM写注册表项将Security.exe注册成名为Privilege的服务，
通过使用相关函数启动被注册的服务；通过相关API函数运行Security.exe；

4.Security.exe运行后，开启一线程关闭“IE 执行保护”与“瑞星卡卡上网安全助手 - IE防漏墙”的安全提示；开启一IEXPLORE.EXE进程,申请内存空间将
病毒一部分代码写入，并通过相关函数激活病毒代码进行代码注入逃避杀毒软件的查杀，并访问恶意网站下载其它病毒程序并运行；遍历盘符在移动存储介质中
释放隐藏病毒文件和autorun.inf，使用Windows自动播放功能来传播病毒；以批处理的方式将病毒原文件删除。