病毒名称： Trojan-Downloader.Win32.Agent.puv
病毒类型： 下载者木马
文件 MD5： 20150FDEA899538424A27CC5A74795C8
公开范围： 完全公开
危害等级： 4
文件长度： 13,840 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0 [Overlay]

　　该病毒为下载者木马木马类，病毒运行后创建互斥量MICK_DOWNLOAD_MUTEX，
目的防止多次运行，在%Windir%下创建目录名为：Nt_File_Temp，调用
URLDownloadToFileA 函数连接网络读取列表将列表保存Nt_File_Temp目录下名
为：list.temp，读该文件的内容执行下载，下载的文件多数为盗号木马类病毒，
给用户清理带来非常大的不便。

本地行为：

1、病毒运行后创建互斥量MICK_DOWNLOAD_MUTEX，目的防止多次运行。　　

2、在%Windir%下创建目录名为：Nt_File_Temp，调用URLDownloadToFileA函数
　 连接网络读取http://www.xiaobai01.net/update.txt列表，将列表保存
　 Nt_File_Temp目录下名为：list.temp，读该文件的内容执行下载，下载的文件
　 多数为盗号木马类病毒
　　　
网络行为:

　　　　协议：TCP
　　　　端口：80
　　　　连接服务器名：http://www.xiaobai01.net/update.txt
　　　　IP地址：121.10.105.109

　　　　描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：
　　　　25
　　　　http://lo.12****.net/dd.exe
　　　　http://lo.12****.net/d0.exe
　　　　http://lo.12****.net/d1.exe
　　　　http://lo.12****.net/d2.exe
　　　　http://lo.12****.net/d3.exe
　　　　http://lo.12****.net/d4.exe
　　　　http://lo.12****.net/d5.exe
　　　　http://lo.12****.net/d6.exe
　　　　http://lo.12****.net/d7.exe
　　　　http://pg.12****.net/d8.exe
　　　　http://pg.12****.net/d9.exe
　　　　http://pg.12****.net/d10.exe
　　　　http://pg.12****.net/d11.exe
　　　　http://pg.12****.net/d12.exe
　　　　http://pg.12****.net/d13.exe
　　　　http://pg.12****.net/d14.exe
　　　　http://to.12****.net/d15.exe
　　　　http://to.12****.net/d16.exe
　　　　http://to.12****.net/d17.exe
　　　　http://to.12****.net/d18.exe
　　　　http://to.12****.net/d19.exe
　　　　http://to.12****.net/d20.exe
　　　　http://to.12****.net/d21.exe
　　　　http://to.12****.net/d22.exe
　　　　http://to.12****.net/d23.exe
　　　　http://to.12****.net/d24.exe
　　　　http://zi.12****.net/d25.exe
　　　　http://zi.12****.net/d26.exe
　　　　http://zi.12****.net/d27.exe
　　　　http://zi.12****.net/d28.exe
　　　　http://zi.12****.net/d29.exe
　　　　http://zi.12****.net/d30.exe
　　　　http://zi.12****.net/d31.exe
　　　　http://zi.12****.net/d32.exe
　　　　http://zi.12****.net/d33.exe
　　　　http://zi.12****.net/d34.exe
　　　　http://zi.12****.net/d35.exe
　　　　http://zi.12****.net/d36.exe

2、连接网络下载大量病毒文件，多数连接无效

　　　　http://lo.12****.net/dd.exe
　　　　病毒名:(Trojan.Win32.Agent.nbl)

　　　　http://lo.12****.net/d0.exe
　　　　病毒名:(Trojan.Win32.Agent.nbj)

　　　　http://zi.12****.net/d1.exe
　　　　病毒名:(Trojan-PSW.Win32.OnLineGames.aiyg)

　　　　http://zi.12****.net/d2.exe
　　　　病毒名:(Trojan-PSW.Win32.OnLineGames.aiqt)

　　　　http://zi.12****.net/d3.exe
　　　　病毒名:(Trojan-PSW.Win32.OnLineGames.ajqn)

　　　　http://zi.12****.net/d4.exe
　　　　病毒名:(Trojan-PSW.Win32.OnLineGames.ajan)

　　　　http://zi.12****.net/d5.exe
　　　　病毒名:(Trojan-PSW.Win32.OnLineGames.zjk)

　　　　http://zi.12****.net/d6.exe
　　　　病毒名:(Trojan-PSW.Win32.OnLineGames.aihg)

　　　　http://zi.12****.net/d7.exe
　　　　病毒名:( Worm.Win32.Downloader.me)

　　　　http://zi.12****.net/d8.exe
　　　　地址无效

　　　　http://zi.12****.net/d9.exe
　　　　地址无效

　　　　http://zi.12****.net/d10.exe
　　　　地址无效

　　　　http://zi.12****.net/d11.exe
　　　　地址无效

　　　　http://zi.12****.net/d12.exe
　　　　地址无效

　　　　http://zi.12****.net/d13.exe
　　　　地址无效

　　　　http://zi.12****.net/d14.exe
　　　　地址无效

　　　　http://zi.12****.net/d15.exe
　　　　地址无效

　　　　http://zi.12****.net/d16.exe
　　　　地址无效

　　　　http://zi.12****.net/d17.exe
　　　　地址无效

　　　　http://zi.12****.net/d18.exe
　　　　地址无效

　　　　http://zi.12****.net/d19.exe
　　　　地址无效

　　　　http://zi.12****.net/d20.exe
　　　　地址无效

　　　　http://zi.12****.net/d21.exe
　　　　地址无效

　　　　http://zi.12****.net/d22.exe
　　　　地址无效

　　　　http://zi.12****.net/d23.exe
　　　　地址无效

　　　　http://zi.12****.net/d24.exe
　　　　地址无效

　　　　http://zi.12****.net/d25.exe
　　　　地址无效

　　　　http://zi.12****.net/d26.exe
　　　　地址无效

　　　　http://zi.12****.net/d27.exe
　　　　地址无效

　　　　http://zi.12****.net/d28.exe
　　　　地址无效

　　　　http://zi.12****.net/d29.exe
　　　　地址无效

　　　　http://zi.12****.net/d30.exe
　　　　地址无效

　　　　http://zi.12****.net/d31.exe
　　　　地址无效

　　　　http://zi.12****.net/d32.exe
　　　　地址无效

　　　　http://zi.12****.net/d33.exe
　　　　地址无效

　　　　http://zi.12****.net/d34.exe
　　　　地址无效

　　　　http://zi.12****.net/d35.exe
　　　　地址无效

　　　　http://zi.12****.net/d36.exe
　　　　地址无效

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 删除下载的大量病毒衍生的病毒文件:
　 　 %system32%\drivers\msosmsp2p32.sys
　 　 %system32%\drivers\nicomsp2p32.sys
　 　 %system32%\drivers\msosmsfpfis64.sys
　 　 %system32%\msosmhfp00.dll
　 　 %system32%\msosmhfp.dat
　 　 %system32%\fmsiocps.dll
　 　 %system32%\anistio.dll
　 　 %system32%\SysWoWCt.dll
　 　 %system32%\dionpis.dll
　 　 %system32%\nicozftp00.dll
　 　 %system32%\nicozftp.dat
　 　 %system32%\msosdohs00.dll
　 　 %system32%\msosdohs.dat
　 　 %system32%\msoscqit00.dll
　 　 %system32%\msoscqit.dat
　 　 %system32%\hefcndy.dll
　 　 %system32%\SysZxaC.dll
　 　 c:\WINDOWS\fmsiocps.exe
　 　 c:\WINDOWS\anistio.exE
　 　 c:\WINDOWS\dionpis.exe
　 　 c:\WINDOWS\hefcndy.exe

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net