Win32.Troj.SecretAgent.cd.200704

这是个利用FLASH漏洞进行传播的病毒下载器。它进入电脑后会破坏多款国产杀毒软件和安全辅助软件的正常运行，然后下载盗号木马到系统中运行。运行完毕后就完全删除自己的全部文件，不留下一点痕迹。

1.关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换
为无效的文件。
2.禁用系统安全中心、windows防火墙、系统还原。
3.结束360的进程、删除其进程文件。并修改360的设置，使360的保护
失效。
4.释放木马下载者病毒。
5.删除病毒运行过程中生成的所有文件（不含释放的木马下载者）。注：此
项可配置，若不设置，病毒会释放副本C:\Progra~1\Realtek\APPath\RTHDCPL.ex，
e，并为之创建启动项：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\S
oundman。

1.将本进程文件移动到同盘的根目录，且重命名为x:\NTDUBECT.exe
2.根据查找是否有avp.exe进程、是否可以修改系统时间来检测当前系统中是否
有装有卡巴斯基，若有，程序返回。
3.禁用系统安全中心、windows防火墙、系统还原。
4.设置HKLM\software\360safe\safemon子键下的ExecAccess,SiteAccess,MonAcc
ess,VDiskAccess,ARPAccess,IEProtAccess为0.
检测当前系统中是否有360tray.exe、360safe.exe，若有，结束进程、删除进程
文件。
5.检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe。若有：
1)将进程资源RCDATA/"ANTIR"释放到%temp%\ANTIR.exe。
2)将进程资源RCDATA/"KNLPS"释放到%temp%\ANTIR.sys。
3)生成批处理脚本%temp%\tmp.bat，内容为：(以下%temp%代表C:\DOCUME
~1\xz\LOCALS~1\Temp\)
cd%temp%
%temp%\ANTIR.exe-f$安全进程软件的进程id
delC:\DOCUME~1\xz\LOCALS~1\Temp\ANTIR.exe;C:\DOCUME~1\xz\LO
CALS~1\Temp\ANTIR.sys;C:\DOCUME~1\xz\LOCALS~1\Temp\tmp.bat
进程可为rfwsrv.exe,rfwmain.exe,kwatch.exe,kissvc.exe,kpfwsvc.exe,safebo
xTray.exe,RavMonD.exe
4)调用WinExec("tmp.bat",SW_HIDE)执行脚本关闭安全软件的监控进程、删
除自身的文件。
5)等待脚本被成功删除。最多等待10s。
6)病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys，查询并替换毒霸和瑞星的文件。
7)(本样本无此行为)若系统中，RavMonD.exe、kwatch.exe进程已经不存在，
且GEN_RTHDCPL标志被设置，
若当前系统为NT(dwPlatformID,VER_PLATFORM_WIN32_NT),创建启
动项:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\Soundman"C:\Pr
ogra~1\Realtek\APPath\RTHDCPL.exe"
6.再次检测是否存在avp.exe进程，若存在：
1)调用mixer*函数静音
2)将系统年份修改为2000年
3)打开声音
4)循环15次设置系统时间
5)再次禁用系统安全中心、windows防火墙、系统还原。
设置HKLM\software\360safe\safemon子键下的ExecAccess,SiteAccess,Mon
Access,VDiskAccess,ARPAccess,IEProtAccess为0.
检测当前系统中是否有360tray.exe、360safe.exe，若有，结束进程、删除
进程文件。
6)再次检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe。
7)将RCDATA\packageinfo保存为%temp%\setup.exe,并执行setup.exe。此文
件为一个木马下载者。
7.建立映像劫持，此项可由配置信息控制。
8.(本样本无此行为)恢复原来的时间，此项可由配置信息控制。
8.若生成了NTDUBECT.exe,调用命令行"cmd/cdel"删除之。