一、 病毒标签：病毒名称： Trojan.Spy.Win32.Agent.pi

 
病毒类型： 后门文件 MD5： 8533C7CACEACEB8FD7AA5E22631EF3C2

文件长度：284 KB (291,553 字节)公开范围： 完全公开危害等级： C开发工具： Microsoft Visual C++ 6.0

加壳类型： 无壳命名对照：瑞星：Trojan.Spy.Win32.Agent.pi二、 病毒描述：

该病毒为后门程序，是网络红娘所生成的服务端，运行后将连接网络接受黑客的远程控制。

三、 行为分析：

病毒运行后释放文件：

c:\WINDOWS\system32\RYAlauvryl.dat

Date: 8-4-2004 12:52 AM

Size: 221,184 bytes

c:\WINDOWS\system32\RYAlauvryl.exe

Date: 8-4-2004 12:52 AM

Size: 291,553 bytes

增加服务启动项目：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\locals Logs "Deｓｃｒｉｐｔion"

Type: REG_SZ

Data: 收集本地计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\locals Logs "ImagePath"

Type: REG_EXPAND_SZ

Data: C:\WINDOWS\system32\RYAlauvryl.exe –service

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\locals Logs "Deｓｃｒｉｐｔion"

Type: REG_SZ

Data: 收集本地计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\locals Logs "ImagePath"

Type: REG_EXPAND_SZ

Data: C:\WINDOWS\system32\RYAlauvryl.exe –service

然后隐藏打开IE进程，通过该进程连接网络读取IP地址：

http://www.newying.com/root/RedGirl/IP/86151.html

连接该页面的IP地址等待控制。

解决方案：

删除文件：

c:\WINDOWS\system32\RYAlauvryl.dat

c:\WINDOWS\system32\RYAlauvryl.exe

删除启动项目：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\locals Logs

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\locals Logs

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。当前用户TEMP缓存变量所在目录逻辑驱动器根目录系统程序默认安装目录当前启动的系统的所在分区当前用户文档根目录

%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp

%Windir%\ WINDODWS

%DriveLetter%\

%ProgramFiles%\

%HomeDrive% = C:\

%Documents and Settings%\