aspimgr.exe,Win32.Hack.Agent.135168清除

Win32.Hack.Agent.135168是一个用于盗窃FTP资源的盗号木马。病毒经过了复杂的加密，试图阻止反病毒软件厂商的查杀。如果运行起来，它就会从用户系统中的FTP相关软件（比如CuteFTP这样的工具）中盗取用户保存的FTP连接地址、帐号信息等敏感数据，然后发送到病毒作者指定的地址。

运行后释放病毒文件:
%systemroot%\system32\aspimgr.exe
病毒配置文件(已加密数据):
%systemroot%\ws386.ini
%systemroot%\db32.txt
%systemroot%\s32.txt

病毒所有重要数据都经过加密处理(包括字符串、API函数等).

所有 API 函数都是通过运行时调用 GetProcAddress 获取,并在之后调用.

如果病毒文件名包含了以下字符串"flash"、"java"、"msupdate",则在运行时分别弹出不同的对话框窗口,内容如下:
flash: The latest version of Adobe Flash Player is already installed on your system.
java: The latest version of Sun Java Runtime Environment is already installed on your system.
msupdate: The latest Windows security updates are already installed on your system.

把字符串"version=427"加密后写入 %systemroot%\ws386.ini 文件.

获取 %systemdrive%\Document and Settings\当前用户\Application Data 和 %systemdrive%\Document and Settings\All Users\Application Data 两个路径,分别读取这两个路径下的下层路径 "\GlobalSCAPE\\CuteFTP\2.0\" 的 sm.dat 文件.
注意: GlobalSCAPE\\CuteFTP\2.0\ 这里会分别读取 2.0、3.0、5.0、6.0、7.0、8.0 的软件版本号.
还会读取 GlobalSCAPE\CuteFTP Pro 和 GlobalSCAPE\CuteFTP Home\这两上下层路径,读取的软件版本号与上一个一样.
这步操作只有读取,并无实际的盗取行为.

获取 %systemroot%\win.ini 文件路径,读取文件里的 [WS_FTP] 下的 DIR 或 DEFDIR 两个字段的值与 "ws_ftp.ini" 连接成文件路径.
得到该文件里所有 Host(连接的FTP地址)、Uid(用户名)和Pwd(密码).

同样获取 %systemdrive%\Document and Settings\当前用户\Application Data 和 %systemdrive%\Document and Settings\All Users\Application Data 两个路径. 分别枚举读取这两个路径下的下层路径 "Ipswitch\WS_FTP\Sites"、"IpSwitch\WS_FTP Home\Sites"、"Ipswtich\WS_FTP Professional\Sites"下的所有 ini 格式文件,并得到所有 ini 文件里的 Host(连接的FTP地址)、Uid(用户名)和Pwd(密码).

枚举注册表 HKEY_CURRENT_USER\Software\Far\Plugins\FTP\Hosts 下的所有键,得到每个键下的 HostName,Description,User,Password 的值.

把得到的所有信息(Host,Uid,Pwd)写入 %windir%\db32.txt 文件里,

病毒创建系统服务启动:
Key: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aspimgr"
ImagePath: "%systemroot%\system32\aspimgr.exe"
DisplayName: "Microsoft ASPI Manager"
ObjectName: "Localsystem"