Trojan-Downloader.Win32.Agent.feq£¨atielf.dat£¬update.t£©·ÖÎö

²¡¶¾ÃèÊö£º
¡¡¡¡¸Ã²¡¶¾ÎªÄ¾ÂíÀ࣬²¡¶¾ÔËÐкó£¬ÔÚ%Systme32%ÏÂÑÜÉú²¡¶¾Îļþatielf.dat£»µ±Óû§
Á¬½ÓInternetʱ£¬½«¶ÁÈ¡atielf.dat½ø¶ø»ñÈ¡²¡¶¾ÁбíÎļþupdate.txtÖеÄURL£¬´Ó¶ø
ÏÂÔز¢¶ÁÈ¡ÆäÐÅϢʹÏÂÔز¡¶¾ÎļþÔÚ±¾»úÔËÐУ»Í¨¹ý¸øµ±Ç°ÏµÍ³ÄÚÖ´ÐеĽø³ÌÅÄ¿ìÕÕ£¬À´
ÅжÏÊÇ·ñ´æÔÚAVP.exe½ø³Ì£¬´æÔÚ±ãͨ¹ýAPIº¯Êý"SetSystemTime"ÐÞ¸Äϵͳʱ¼äΪ2001
Ä꣬Ô¡¢ÈÕ²»±ä£¬ÒÔʹ¿¨°Í˹»ù¹ýÆÚʧЧ¡£ÐÂÔö×¢²á±íÏӳÏñ½Ù³Ö¶à¿î°²È«Èí¼þ£¬ÒÔ½µ
µÍϵͳµÄ°²È«ÐÔ£»µ÷ÓÃsvchost.exe½ø³Ì¼ÓÔز¡¶¾·þÎñ£»´Ë²¡¶¾ÍêÈ«Ö´ÐÐ×ÔÉí´úÂëºó£¬»á
½áÊø×ÔÉí½ø³Ì¡¢É¾³ý×ÔÉí£¬²¡¶¾»¹»áËæ»úÆô¶¯¡£

Çå³ý·½°¸£º
1 ¡¢Ê¹Óð²Ìì·ÀÏß2008¿É³¹µ×Çå³ý´Ë²¡¶¾(ÍƼö)£¬
¡¡ ¡¡Çëµ½°²ÌìÍøÕ¾ÏÂÔØ£º www.antiy.com¡¡
2 ¡¢ÊÖ¹¤Çå³ýÇë°´ÕÕÐÐΪ·ÖÎöɾ³ý¶ÔÓ¦Îļþ£¬»Ö¸´Ïà¹ØϵͳÉèÖá£
¡¡ (1)¸Ã²¡¶¾ÔÚÔËÐкó£¬ÊµÏÖÍê×ÔÉí´úÂë±ã»á½áÊø×ÔÉí½ø³Ì£¬
¡¡ ¡¡ ɾ³ý×ÔÉí¡£
¡¡ (2)ɾ³ý²¡¶¾ÑÜÉúµÄÎļþ£º
¡¡ ¡¡ %System32%\atielf.dat
¡¡ (3)ɾ³ý²¡¶¾Ìí¼ÓµÄ×¢²á±íÓ³Ïñ½Ù³ÖÏ
¡¡ ¡¡ <1> ɾ³ý×¢²á±íÏ
¡¡ ¡¡ ɾ³ý[HKEY_LOCAL_MACHINE\SOFTWARE
¡¡ ¡¡ \Microsoft\Windows NT\CurrentVersion]ϵÄ
¡¡ ¡¡ Image File Execution Options×Ó¼ü£¬ÈçÓÐÐèÒªµÄ»°£¬
¡¡ ¡¡¿ÉÒÔͨ¹ýÔÚÁíһ̨ÓëÄ㰲װͬÑù²Ù×÷ϵͳµÄ“Âã»ú”µ¼³ö´ËÏ
¡¡ ¡¡ÔÚ¿½±´ÖÁ±¾»ú½øÐе¼Èë¡£

ÐÐΪ·ÖÎö£º
±¾µØÐÐΪ£º

1¡¢ÎļþÔËÐкó»áÊÍ·ÅÒÔÏÂÎļþ£º

¡¡¡¡¡¡¡¡%System32%\atielf.dat ¡¡¡¡¡¡¡¡128 ×Ö½Ú

2¡¢´´½¨²¡¶¾·þÎñLEGACY_484¡¢LEGACY_ATIXEVE29875£¬ÆäÖÐÊý×Ö²¿·ÖÊÇËæ»úÊý×Ö¡£

3¡¢µ÷ÓÃsvchost.exe¼ÓÔز¡¶¾·þÎñ£¬Á¬½ÓÍøÂ磬ͨ¹ý¶ÁÈ¡%System32%\atielf.dat
¡¡ È¥ÏÂÔز¡¶¾ÁбíÎļþupdate.txt¡£

4¡¢Í¨¹ý¸øµ±Ç°ÏµÍ³ÄÚÖ´ÐеĽø³ÌÅÄ¿ìÕÕ£¬À´ÅжÏÊÇ·ñ´æÔÚAVP.exe½ø³Ì£¬´æÔÚ±ãͨ¹ý
¡¡ APIº¯Êý"SetSystemTime"ÐÞ¸Äϵͳʱ¼äΪ2001Ä꣬Ô¡¢ÈÕ²»±ä£¬ÒÔʹ¿¨°Í˹»ù¹ý
¡¡ ÆÚʧЧ¡£¡¡¡¡
¡¡¡¡¡¡¡¡
5¡¢Í¨¹ý×¢²á±íÓ³Ïñ½Ù³Ö¶à¿î°²È«Èí¼þ£º

¡¡¡¡¡¡¡¡[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
¡¡¡¡¡¡¡¡\Windows NT\CurrentVersion
¡¡¡¡¡¡¡¡\Image File Execution Options\±»Ó³Ïñ½Ù³ÖµÄÎļþÃû³Æ]
¡¡¡¡¡¡¡¡×¢²á±íÖµ£º "Debugger"
¡¡¡¡¡¡¡¡ÀàÐÍ£º REG_SZ
¡¡¡¡¡¡¡¡×Ö·û´®£º"C:\WINDOWS\system32\svchost.exe"