病毒名称： Trojan-Dropper.Win32.Agent.ats
中文名称： 中文上网
病毒类型： 木马
文件 MD5： C9A2539F67683DE533CC757AAA9369C6
公开范围： 完全公开
危害等级： 中等
文件长度： 363,520 字节
感染系统： Win9X以上系统
开发工具： Microsoft Visual C++ 6.0
加壳类型： ASPack 2.12 -> Alexey Solodovnikov
命名对照： 无

　　该病毒运行后，衍生病毒文件到系统目录下。添加注册表启动项，以达到开机加载病毒体的目的。连接某网址，下载病毒文件到本机运行，添加系统服务项，插入IE的BHO对象。并衍生文件到%System32\Drivers%目录下，造成卸载困难。

1、衍生下列副本与文件

%Program Files%\CNNIC
%Program Files%\CNNIC\Cdn\Images\
%Program Files%\CNNIC\Cdn\Update\
%Program Files%\CNNIC\Cdn\cdnaux.dll
%Program Files%\CNNIC\Cdn\cdnforie.dll
%Program Files%\CNNIC\Cdn\cdnprh.dll
%Program Files%\CNNIC\Cdn\cdnunins.exe
%Program Files%\CNNIC\Cdn\cdnup.exe
%Program Files%\CNNIC\Cdn\idnconvs.dll
%Program Files%\CNNIC\Cdn\cdnvers.dat
%Program Files%\CNNIC\Cdn\src.dat
%WINDOWS\system32%\cdndisp.tmp
%WINDOWS\system32%\cdnns.dll
%WINDOWS\system32%\cdnprot.dat
%WINDOWS\system32\drivers%\cdnprot.sys

2、下载文件列表

%Documents and Settings\用户名\Local Settings\Temp\%1C
%Documents and Settings\用户名\Local Settings\Temp\%1C\cdn.dll
%Documents and Settings\用户名\Local Settings\Temp\%1C\cdnaux.dll
%Documents and Settings\用户名\Local Settings\Temp\%1C\cdnforie.dll
%Documents and Settings\用户名\Local Settings\Temp\%1C\cdnins.dll
%Documents and Settings\用户名\Local Settings\Temp\%1C\cdnprh.dll
%Documents and Settings\用户名\Local Settings\Temp\%1C\cdnprot.dat
%Documents and Settings\用户名\Local Settings\Temp\%1C\cdnprot.sys
%Documents and Settings\用户名\Local Settings\Temp\%1C\idnconvs.dll
%Documents and Settings\用户名\Local Settings\Temp\%1C\setup.exe
%Documents and Settings\用户名\Local Settings\Temp\%1C\cdnup.exe

2、新建注册表键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\CdnCtr键值: 字符串:"%ProgramFiles%\CNNIC\Cdn\cdnup.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects键值: 字符串: “%programfiles%\cnnic\cdn\cdnforie.dll”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\cdnprot\DescriptionName键值: 字符串: "cdnprot"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdnprot\ImagePath
键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节system32\drivers\cdnprot.sys.

3、连接下列网址

update.*****.cn(***.208.170.72)
jump.*****.cn:80(***.241.97.33)

　　注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

cdnup.exe

(2) 删除病毒衍生文件

%Program Files%\CNNIC\
%WINDOWS\system32%\cdndisp.tmp
%WINDOWS\system32%\cdnns.dll
%WINDOWS\system32%\cdnprot.dat
%WINDOWS\system32\drivers%\cdnprot.sys
%Documents and Settings\用户名\Local Settings\Temp\%1C\

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\CdnCtr键值: 字符串:"%ProgramFiles%
\CNNIC\Cdn\cdnup.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects键值: 字符串: “%programfiles%\cnnic\cdn\cdnforie.dll”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\cdnprot\DescriptionName键值: 字符串: "cdnprot"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\cdnprot\ImagePath键值: 类型: REG_EXPAND_SZ 长度: 29 (0x1d) 字节system32\drivers\cdnprot.sys.

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net