win32.Hack.ProAgent.df

该病毒为黑客后门病毒,中毒后会释放大量病毒文件,连接网络,并发送用户信息到指定邮箱,并监听特定端口，等待黑客连接。

1、病毒运行后，释放大量病毒文件，连接网络，收集用户信息发送到指定邮箱，释放文件如下:
C:\DOCUME~1\Admin\LOCALS~1\Temp\server..exe
%windows%\server..exe
%windows%\qservice.exe
%windows%\services.dll
%windows%\kurlmon.dll
%windows%\k_urlmon.dll
%windows%\msehk.dll
%system%\bszip.dll
%system%\hookMpi.dll
%system%\agnt_fps.exe
%system%\agnt_mps.exe
%system%\agnt_pnc.exe
%system%\drivers\keensense.sys
%system%\drivers\ksdevice.sys
其中server..exe、qservice.exe、services.dll为主要病毒文件。

2、查找系统中的反病毒软件，并关闭其服务进程。

3、添加注册表项

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
FireWall="C:\WINDOWS\Server..exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
qservices="C:\WINDOWS\Server..exe"

4、生成.bat文件删除自身。

5、插入浏览器进程，发送邮件。

6、浏览器中的病毒线程会不停的添加如下注册表项

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]qservices="C:\WINDOWS\Server..exe"