病毒名称：Trojan.Win32.Agent.h
    病毒症状：系统变慢，网络端口无故开启、摄像头无故开启、文件资料泄露
    病毒长度：71,286
    感染对象：联网的个人PC，服务器

病毒类型：木马
    传播途径：“文件捆绑”，“网页挂马”“下载器下载”
    危险级别：★★★
    影响平台： win2000/win xp/vitsa/2003/7

   一、病毒分析:
         1、病毒采用Petite 2.2加壳，图标为“ ”,长度为“71,286”字节,扩展名为exe。
         2、病毒运行后，获取系统版本信息，创建许多病毒支持动态链接库文件。提升自身权限，为病毒创建名为WmdmPmSp的服务项，以服务方式自启动病毒文件。

  3、WmdmPmSp服务项建立网络链接，从指定网址下载大量恶意程序并设置为系统隐藏属性到本地运行。并向指定网址发送连接请求，听取命令。

  4、病毒创建文件
           %SystemRoot%\System32\WmdmPmSp.dll

    %SystemRoot%\System32\Nwsapagent.dll
           %SystemRoot%\System32\regsvc.dll
          %SystemRoot%\System32\lrmon.dll
          %SystemRoot%\System32\lprip.dll
         %SystemRoot%\System32\las.dll
         %SystemRoot%\System32\6to4.dll
         %Documents and Settings%\infotmp.txt

5、病毒修改注删表信息
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NtmsSvc\Enum

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\upnphost\Enum

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmPmSN\Enum

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xmlprov\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtmsSvc\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\upnphost\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xmlprov\Enum

注：变量声明：
　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

   二、查杀解决方案:

      断开网络，进入安全模式(推荐),删除WmdmPmSp服务项，将上面的病毒创建的文件注册表键值掉，重起电脑。
  三、查杀所需工具:

  及时更新杀毒软件病毒库，打好系统补丁。手动杀不掉的可以邮我，antivirusworker@126.com,也可以进AVWQQ群寻求解决方案，进群需考核。可以联系QQ: 951703299
提供查杀方案作者: Robey
文章发布在中国反病毒小组投稿.
Blog:http://loverobey.blog.163.com