Trojan-Downloader.Win32.Agent.hfo分析清除

　　病毒名称： Trojan-Downloader.Win32.Agent.hfo

　　病毒类型： 木马类

　　文件 MD5： EB3F2CD4BA9F29E1820FBB2E76F3E078

　　公开范围： 完全公开

　　危害等级： 3

　　文件长度： 23,552 字节

　　感染系统： Windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： Upack 0.3.9 beta2s

　　该病毒为木马类，病毒运行后复制自身到系统目录。该病毒为下载型木马，首先读取下载列表，然后依照下载列表进行文件下载。下载完成后下载的病毒文件在本机运行，会占用大量系统资源而且盗取用户的敏感信息。

　　本地行为：

　　1、文件运行后会衍生以下文件：

　　%System32%drivers tfs.dll 　　　　28,727 字节

　　%System32%userinit.exe

　　（替换原有系统userinit.exe文件） 　　 23,552 字节

　　2、系统文件userinit.exe被替换，因此系统原有启动项被病毒利用，以加载病毒体：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoft

　　Windows NTCurrentVersionWinlogon]

　　注册表值："Userinit"

　　类型： REG_SZ

　　值： "C:WINDOWSsystem32userinit.exe,"

　　描述：加载病毒体

　　3、该病毒尝试关闭360安全卫士主程序进程360Safe.exe，上报模块进程

　　360rpt.exe和ARP功能模块进程AntiArp.exe。以使360安全卫士检测

　　不到此病毒信息。

　　4、病毒进程userinit.exe启动后，将病毒衍生文件ntfs.dll注入到系统

　　打印服务进程spoolsv.exe中，以spoolsv.exe进程连接网络下载其它

　　病毒。

　　5、病毒下载网址列表：

　　http://219.152.120.***/m/001.exe

　　http://219.152.120.***/m/002.exe