Win32.Troj.Agent.tr.1026560分析

　　威胁级别: ★☆☆☆☆ 病毒类型: 木马下载器 病毒长度: 1026560

　　影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行为:

　　这是一个木马下载者,该病毒运行后会关闭360安全卫士,并且会查找窗口名为"windwos文件保护"的窗口,并隐藏该窗口,还会失效AVP,随后从指定地址下载木马程序到本地.

　　1.该病毒是以动态链接库的方式被注入到系统进程,随后会检测自身宿主模块名是否为

　　conime.exe,internat.exe,ctfmon.exe,explorer.exe,如是,则启动

　　%systemroot%\system32\dllcatch目录下的 conime.exe,internat.exe,ctfmon.exe,explorer.exe.

　　2.同时该木马程序还会关闭360安全卫士,并且会查找窗口名为"windwos文件保护"的窗口,并隐藏该窗口

　　3.随后会从http://www.33**92.com/hostx.txt下载木马程序下载列表到IE缓存,该文件包含木马程序下载地址信息,木马程序会被下载到%tmp%\目录.文件名由hostx.txt内的字段决定,同时该木马还会检测是否存在avp.exe进程,若存在则修改系统时间至2001年,导致AVP失效