英文名称:TrojanDropper.Agent.vus
中文名称:“代理木马”变种vus
病毒类型:木马释放器
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDropper.Agent.vus“代理木马”变种vus是“代理木马”木马释放器家族中的最新成员之一,采用 “Microsoft Visual Basic 5.0 / 6.0”编写,并且经过加壳保护处理。
“代理木马”变种vus运行后,会将 “%SystemRoot%\system32\”目录下的系统输入法管理程序“ctfmon.exe”重新命名为“ctmon.exe”,然后会在相同目录中释放恶意程序“ctfmon.exe”和“war.exe”,在“%SystemRoot%\fonts”目录下释放恶意程序 “smss.exe”,在“C:\Program Files\Internet Explorer\”目录下释放恶意程序 “PIPlayer.exe”。
“代理木马”变种vus在安装完成后会将自我删除,以此消除痕迹。“代理木马”变种vus运行时,会关闭系统防火墙和安全中心服务。在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://www.myg*shop.com/black/”,下载恶意程序 “skep.jpg”并自动调用运行。其下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“ 代理木马”变种vus会下载“皮皮播放器”并进行静默安装,在IE收藏夹和桌面生成大量指向“http://www.myg*shop.com /taobao.htm”页面的快捷方式,同时还会在用户浏览网页时以弹出广告窗口等方式对该站点进行恶意推广,不仅使得不法分子牟取到了非法的经济利益,还会严重地干扰用户的正常电脑操作,给用户造成了更多的不便。
“代理木马”变种vus还会统计用户的感染情况以及恶意推广情况等,并将统计结果发送到指定站点“http://www.gkhf*ff.cn/”上。另外,“代理木马”变种vus除了通过冒充系统文件“ctfmon.exe”实现自启动以外,还会通过在被感染系统注册表启动项中添加键值的方式实现其它木马组件的开机自动运行。