Win32.Troj.Agent.um.401408分析

　　病毒名称(中文): 秘密记录员 病毒别名:

　　威胁级别: ★★☆☆☆ 病毒类型: 木马程序 病毒长度: 101660

　　影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行为:

　　“秘密记录员”（Win32.Troj.Agent.um.401408），该木马运行后，监视系统是否运行有安全软件（如360、金山反间谍、卡巴斯基等），如果有则关闭，并禁用任务管理器。同时，它会监视用户的QQ聊天信息和打开系统后门，便于黑客进行恶意行为。

　　1.复制文件：

　　%windir%\mwinsys.ini

　　%windir%\system\AlxRes070826.exe

　　%sys32dir%\inf\scrsys070826.scr

　　%sys32dir%\inf\scrsys16_070826.dll

　　%sys32dir%\winsys16_070826.dll

　　%sys32dir%\winsys32_070826.dll

　　d:\myplayer.com

　　2.添加到到注册表：

　　添加以下注册表项，开机自启动：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]

　　AutoRun = "d:\myplayer.com"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]

　　Userinit = "rundll32.exe C:\WINDOWS\system32\winsys16_070826.dll start"

　　3.破坏方式

　　该木马运行后，复制DLL文件和Exe文件到系统文件夹，添加到启动项，随系统Explorer.exe启动，启动后在系统中查找是否有iexplore.exe、

　　TTraveler.exe或者maxthon.exe进程，如果有则创建远程线程注入其中，监视系统是否运行有安全软件（如360、金山反间谍、卡巴斯基等），

　　如果有则关闭，并禁用任务管理器；同时监视用户的QQ聊天信息，并保存记录到本地。另外，改木马打开系统后门，供黑客利用。

　　4.其他

　　在木马中发现了字符串：37***4901**p，可能是木马作者的QQ号信息。。