中国反病毒小组网2010年10月19日消息: 病毒名称： Trojan/Win32.Agent.dgn[Dropper]
病毒类型： 木马

该恶意代码文件为Dropper类木马，病毒运行后设置光标等待状态一直显示为正常而不会出现鼠标沙漏，衍生病毒DLL文件到%System32%目录下命名为syste1.dll并加载该病毒DLL文件，调用病毒DLL的"Export"模块，动态加载user32.dll、wininet.dll、Advapi32.dll来动态获取大量API函数，然后对进程进行提权操作，完成以上操作后删除该DLL文件，衍生病毒DLL文件到%System32%目录下命名为syste2.dll，调用rundll32.exe隐藏加载该病毒DLL文件在每个磁盘驱动器下衍生AutoRun.inf%、AutoRun.vbs文件，将病毒自身移动到%System32%目录下命名为system.exe，被感染的用户可能会造成MSN账号密码泄露。

行为分析-本地行为


1、设置光标等待状态一直显示为正常而不会出现鼠标沙漏，参数如下：
SetSystemCursor
0012FD9C 0012024B |hCursor = 0012024B
0012FDA0 00007F8A \CursorID = OCR_APPSTARTING

2、释放病毒文件到以下目录
%HomeDrive%\AutoRun.inf
%HomeDrive%\AutoRun.vbs
%HomeDrive%\system.exe
%System32%\system.exe
%System32%\\syste2.dll
%Documents and Settings%\a\Local Settings\Temp\278140.tmp （随机数字病毒名）

3、创建注册表病毒服务、添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system
值: 字符串: "C:\WINDOWS\system32\system.exe"
描述：添加病毒启动项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver\DisplayName
值: 字符串: "Driver"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Driver\ImagePath
值: 字符串: "\??\C:\WINDOWS\system32\Drevers\Drver.sys.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver\Start
值: DWORD: 3 (0x3)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver\Type
值: DWORD: 1 (0x1)
描述：添加病毒服务

4、调用病毒DLL的"Export"模块，动态加载user32.dll、wininet.dll、Advapi32.dll来动态获取大量API函数，然后对进程进行提权操作，完成以上操作后删除该DLL文件，衍生病毒DLL文件到%System32%目录下命名为syste2.dll，调用"Rundll32 C:\WINDOWS\system32\syste2.dll Export"隐藏加载该病毒DLL文件。


清除方案

手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/atool.htm)。
（1）使用ATOOL进程管理工具结束Rundll32.exe进程。

（2）强行删除以下病毒文件
%HomeDrive%\AutoRun.inf
%HomeDrive%\AutoRun.vbs
%HomeDrive%\system.exe
%System32%\system.exe
%System32%\\syste2.dll
%Documents and Settings%\a\Local Settings\Temp\278140.tmp （随机数字病毒名）

（3）删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system
删除Run键值下的system主键值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Driver
删除Services键值下的Driver主键值