2009年10月30日 【疯狂下载者木马开启IE连接网络】

一、“疯狂下载者dyq”（Trojan/Win32.Small.dyq[Dropper]） 威胁级别：★★★★
    该恶意代码为下载者木马，病毒运行后动态加载sfc_os.dll系统库文件，并调用该库文件序号为#5的函数，去掉对appmgmts.dll系统文件的保护，动态加载Advapi32.dll系统库文件，并调用该库文件的RegCloseKey、OpenSCManagerA函数，开启AppMgmt服务，遍历%System32%目录下的appmgmts.dll，创建病毒文件替换系统的appmgmts.dll文件，并将病毒DLL文件时间设置为该系统DLL文件的创建时间，释放驱动文件到临时目录下，等待启动之后将删除驱动文件，该驱动文件主要行为恢复SSDT过主动防御，调用StartServiceA函数启动AppMgmt服务，以系统服务启动病毒DLL文件，创建BAT批处理文件用于删除病毒自身，结束安全软件进程，将病毒DLL注入到svchost.exe进程中，开启IE连接网络下载病毒文件。

二、“下载者木马bgdt”（Trojan/Win32.Agent.bgdt[Dropper]） 威胁级别：★★★★
    该病毒为木马类病毒，病毒运行后，创建进程加载病毒DLL文件，添加注册表启动项，创建相应快捷方式文件到桌面，将病毒dll文件注入到Explorer.exe进程中，调用函数连接网络打开一个网址并下载病毒文件保存到%System32%目录下，病毒DLL文件主要行为：当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载，当用户选择“是”则会连接网络下载文件，当用户选择“否”则会弹出一个网页模拟本地磁盘，显示存在的威胁数量并提示用户是否下载扫描器，严重影响用户对本地磁盘的正常浏览。

安天反病毒工程师建议
    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
    2.安天反病毒应急中心及时进行了病毒库更新，如未安装安天防线请点击此处(http://www.antiyfx.com/download.htm)免费下载最新版安天防线来防止病毒入侵。