病毒名称： Worm.Win32.Agent.az
病毒类型： 蠕虫类
文件 MD5： 662122C6F05E39AD820F7EA125EF25D9
公开范围： 完全公开
危害等级： 4
文件长度： 加壳后 15,614 字节，脱壳后66,560 字节
感染系统： Win9X以上系统
开发工具： Microsoft Visual C++ 6.0
加壳类型： NsPack变形壳
命名对照： BitDefender [GenPack:Generic.Malware.Bdldg.FAE17B32]

　　该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。
病毒体访问某动态更新的病毒地址页面，从而获得病毒的更新下载地址。下载的病毒体多为
网络游戏盗号程序。

1 、衍生下列副本与文件：

　　　　%C:%\autorun.inf
　　　　%C:%\rising.exe
　　　　%WinDir%\cmdbs.exe
　　　　%WinDir%\macfee.exe
　　　　%WinDir%\mppds.exe
　　　　%WinDir%\msccrt.exe
　　　　%WinDir%\testexe.exe
　　　　%WinDir%\winform.exe
　　　　%System32%\6D52D174.EXE
　　　　%System32%\B0B2C20E.DLL
　　　　%System32%\B0B2C20E.EXE
　　　　%System32%\cmdbs.dll
　　　　%System32%\macfee.dll
　　　　%System32%\mppds.dll
　　　　%System32%\msccrt.dll
　　　　%System32%\testdll.dll
　　　　%System32%\winform.dll

2 、新建注册表键值：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmdbs
　　　　Value: String: "%WINDIR%\cmdbs.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\macfee
　　　　Value: String: "%WINDIR%\macfee.exe /i"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mppds\
　　　　Value: String: "%WINDIR%\mppds.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msccrt
　　　　Value: String: "%WINDIR%\msccrt.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\testrun
　　　　Value: String: "%WINDIR%\testexe.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\upxdnd
　　　　Value: String: "%DOCUME~1%\ 当前用户名 \LOCALS~1\Temp\upxdnd.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winForm
　　　　Value: String: "%WINDIR%\winform.exe"
　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sgktiq98kfb8xz
　　　　Value: String: "%\DOCUME~1%\antiy\LOCALS~1\Temp\c0nime.exe"

3 、访问下列地址获取要更新的病毒体地址：

　　　　(2*2.7*.2*0.*5) n*.5*yl*.cn /soft//update.txt
　　　　(6*.1*2.9*.9*)p*pw*n.9*8*.com /update.txt

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1) 使用安天木马防线断开网络，结束病毒进程：
　　　　　　rising.exe
　　　　　　macfee.exe
　　　　　　mppds.exe
　　　　　　cmdbs.exe
　　　　　　msccrt.exe
　　　　　　testexe.exe
　　　　　　winform.exe
　　　　　　6D52D174.EXE
　　　　　　B0B2C20E.DLL
　　　　　　B0B2C20E.EXE
　 　 (2) 删除并恢复病毒添加与修改的注册表键值：
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\cmdbs
　　　　　　Value: String: "%WINDIR%\cmdbs.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\macfee
　　　　　　Value: String: "%WINDIR%\macfee.exe /i"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\mppDs\
　　　　　　Value: String: "%WINDIR%\mppds.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\msccrt
　　　　　　Value: String: "%WINDIR%\msccrt.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\testrun
　　　　　　Value: String: "%WINDIR%\testexe.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\upxdnd
　　　　　　Value: String: "%DOCUME~1%\ 当前用户 \
　　　　　　LOCALS~1\Temp\upxdnd.exe"
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
　　　　　　CurrentVersion\Run\winform
　　　　　　Value: String: "%WINDIR%\winform.exe"
　　　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\
　　　　　　CurrentVersion\Run\sgktiq98kfb8xz
　　　　　　Value:String:"%\DOCUME~1%\antiy\LOCALS~1\Temp\c0nime.exe"
　 　 (3) 删除病毒释放文件：
　　　　　　%C:%\autorun.inf
　　　　　　%C:%\rising.exe
　　　　　　%WinDir%\cmdbs.exe
　　　　　　%WinDir%\macfee.exe
　　　　　　%WinDir%\mppds.exe
　　　　　　%WinDir%\msccrt.exe
　　　　　　%WinDir%\testexe.exe
　　　　　　%WinDir%\winform.exe
　　　　　　%System32%\6D52D174.EXE
　　　　　　%System32%\B0B2C20E.DLL
　　　　　　%System32%\B0B2C20E.EXE
　　　　　　%System32%\cmdbs.dll
　　　　　　%System32%\macfee.dll
　　　　　　%System32%\mppds.dll
　　　　　　%System32%\msccrt.dll
　　　　　　%System32%\testdll.dll
　　　　　　%System32%\winform.dll

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net