至顶网›安全频道 ›lphcgg8j0evfe.exe,Win32.Troj.Agent.iq.109056

lphcgg8j0evfe.exe,Win32.Troj.Agent.iq.109056

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

Win32.Troj.Agent.iq.109056是一个伪装成安全工具的木马下载器。病毒运行后在电脑桌面上显示说发现严重的木马，并通过释放的屏保程序显示一个假的“蓝屏”，要求用户下载指定的某款“安全软件”。

来源：论坛整理 2008年12月6日

这又是一个最近十分流行的伪装安全工具的木马，加未知壳。病毒运行后修改系统墙纸和屏保程序为病毒释放的文件，在桌面上显示"Warning!SpyWare detected on your computer!………………"，并通过释放的屏保程序显示一个假的"蓝屏"错误，欺骗用户其系统崩溃。

病毒行为：

1.创建互斥量{A56DECD8-1102-49e9-BFD5-17FBE35197F2}，避免多个病毒实例运行。

2.创建如下注册表项，设置感染标记
HKLM\Software\Microsoft\Software Notifier,
"InstallationID"= 158e8651-abbc-4b9e-9142-3622b6b4e0cb；

3.释放文件%windir%\system32\phcgg8j0evfe.bmp,
修改注册表如下项:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"NoDispBackgroundPage"=1,不显示"属性”页中“桌面”选项卡；

4.释放病毒副本文件%windir%\system32\lphcgg8j0evfe.exe,添加自启动项：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run,
"lphcggj0evfe"=%windir%\system32\lphcgg8j0evfe.exe;

5.在目录x:\Documents and Settings\XXX\Local Settings\Temp下释放文件.tt1.tmp.vbs并执行此脚本文件后删除，这个脚本文件创建一个系统还原点"Last Good restore point"。

6.释放文件%windir%\system32\blphcgg8j0evfe.scr,
修改注册表关于系统设置的一些键值，列举其中部分如下：
HKCU\Control Panel\Desktop
"SCRNSAVE.EXE"=%windir%\system32\blphcgg8j0evfe.scr,修改当前系统屏保程序为病毒释放程序。
HKCU\Control Panel\Colors\Background = 0 0 255，修改背景色为全蓝；
HKCU\Control Panel\Desktop\WallpaperStyle = 0
HKCU\Control Panel\Desktop\TileWallpaper = 0
HKCU\Control Panel\Desktop\Wallpaper = "%System%\phcptrj0ejd1.bmp"，修改当前系统墙纸为病毒释放的文件;
HKCU\Control Panel\Desktop\OriginalWallpaper = "%System%\phcptrj0ejd1.bmp"
HKCU\Control Panel\Desktop\ConvertedWallpaper = "%System%\phcptrj0ejd1.bmp
HKCU\Control Panel\Desktop\ScreenSaveActive = 1，激活屏保；
HKCU\Control Panel\Desktop\ScreenSaveTimeOut = 600 ，设置屏保激活时限；
HKCU\Software\Sysinternals\Bluescreen Screen Saver\EulaAccepted = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage = 1,不显示“属性”页中“屏幕保护程序”选项卡。

7.运行blphcgg8j0evfe.scr显示一个逼真的“蓝屏”错误，数秒后进入windows启动状态条，伪装启动失败继续蓝屏，如此反复使用户相信系统崩溃。

8.搜集系统敏感信息，包括系统版本，系统当前进程，通过从HKLM\Microsoft\Windows\CurrentVersion\Uninstall下键值获取当前系统安装的软件信息，把记录的这些信息保存到youp****tube.com的cookies里。

9.访问http://windo****date.microsoft.com，判断网络是否连通。

10.如网络连通，访问anti****sxp2008.com，www.wi***ixer.com下载“安全工具”。