病毒名称： Trojan-Downloader.Win32.Agent.feq
病毒类型： 木马类
文件 MD5： 669A866D71C31BF4553ED2992558643C
公开范围： 完全公开
危害等级： 4
文件长度： 加壳后48,684 字节 脱壳后193,536字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++
加壳类型： Upack V0.37

　　该病毒为木马类，病毒运行后，在%Systme32%下衍生病毒文件atielf.dat；当用户
连接Internet时，将读取atielf.dat进而获取病毒列表文件update.txt中的URL，从而
下载并读取其信息使下载病毒文件在本机运行；通过给当前系统内执行的进程拍快照，来
判断是否存在AVP.exe进程，存在便通过API函数"SetSystemTime"修改系统时间为2001
年，月、日不变，以使卡巴斯基过期失效。新增注册表项，映像劫持多款安全软件，以降
低系统的安全性；调用svchost.exe进程加载病毒服务；此病毒完全执行自身代码后，会
结束自身进程、删除自身，病毒还会随机启动。

本地行为：

1、文件运行后会释放以下文件：

　　　　%System32%\atielf.dat 　　　　128 字节

2、创建病毒服务LEGACY_484、LEGACY_ATIXEVE29875，其中数字部分是随机数字。

3、调用svchost.exe加载病毒服务，连接网络，通过读取%System32%\atielf.dat
　 去下载病毒列表文件update.txt。

4、通过给当前系统内执行的进程拍快照，来判断是否存在AVP.exe进程，存在便通过
　 API函数"SetSystemTime"修改系统时间为2001年，月、日不变，以使卡巴斯基过
　 期失效。　　
　　　　
5、通过注册表映像劫持多款安全软件：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows NT\CurrentVersion
　　　　\Image File Execution Options\被映像劫持的文件名称]
　　　　注册表值： "Debugger"
　　　　类型： REG_SZ
　　　　字符串："C:\WINDOWS\system32\svchost.exe"

　　　　劫持文件名列表：　　　　
　　　　360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、
　　　　adam.exe、AgentSvr.exe、AppSvc32.exe、AtiSrv.exe、
　　　　autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、
　　　　avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、
　　　　FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、
　　　　HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、
　　　　isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、
　　　　KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
　　　　KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
　　　　KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、
　　　　KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、
　　　　KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、
　　　　kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、
　　　　KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、
　　　　KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、
　　　　KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、
　　　　mmsk.exe、Navapsvc.exe、Navapw32.exe、nod32.exe、
　　　　nod32krn.exe、nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、
　　　　OllyICE.EXE、PFW.exe、PFWLiveUpdate.exe、procexp.exe、
　　　　QHSET.exe、QQDoctor.exe、QQKav.exe、Ras.exe、RavMonD.exe、
　　　　RavStub.exe、RawCopy.exe、RegClean.exe、RegTool.exe、
　　　　rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、
　　　　rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、
　　　　safebank.exe、safeboxTray.exe、safelive.exe、scan32.exe、
　　　　shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
　　　　SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、
　　　　TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
　　　　UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、
　　　　vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe
　　　　
6、该病毒文件在执行完自身代码后，会结束自身进程、删除自身。

　　　　
网络行为:

1、通过读取%System32%\atielf.dat，获取病毒文件下载列表的文件的URL：
　　　　
　　　　http://www.r****.cn/update.txt

2、通过读取update.txt，对照下载列表信息，下载大量病毒文件并在本机运行，
　 目前网址（http://www.r****.cn/update.txt）已失效。
　　　　
注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 (1)该病毒在运行后，实现完自身代码便会结束自身进程，
　 　 删除自身。
　 (2)删除病毒衍生的文件：
　 　 %System32%\atielf.dat
　 (3)删除病毒添加的注册表映像劫持项：
　 　 <1> 删除注册表项：
　 　 删除[HKEY_LOCAL_MACHINE\SOFTWARE
　 　 \Microsoft\Windows NT\CurrentVersion]下的
　 　 Image File Execution Options子键，如有需要的话，
　 　可以通过在另一台与你安装同样操作系统的“裸机”导出此项，
　 　在拷贝至本机进行导入。

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net