Win32.Hack.Agent.sr.28672

核心提示：病毒名称(中文):木马更新模块28672病毒别名:威胁级别:★☆☆☆☆病毒类型:木马程序病毒长度:28672影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是某黑客远程程序的组成模块，它的任务是帮助黑客程序母体实现更新，Win32.Hack.Agent.sr.28672，以获取

病毒名称(中文): 木马更新模块28672
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 28672
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是某黑客远程程序的组成模块。它的任务是帮助黑客程序母体实现更新，以获取最新的功能与指令。

dll运行后：
改变进程的当前目录为sys32目录
（1）：
创建线程ThreadPRoc1：
根据不同的应用选择C:\WINDOWS\system32\scheme.ini中的"Windata""UrlDll""UrlEx"节中的字符串作为cmdline
获取成功，调用获取的cmdline,运行cmdline

（2）线程ThreadProc2：
申请一块与scheme.ini同样大小的内存块Buffer1，Buffer2，Buffer3，Buffer4（做更新用），从scheme.ini中读出4段数据file1，file2，file3，file4。
线程ThreadProc2中创建线程ThreadProc3，

从scheme.ini中选择cmdline，依次检查Buffer1，Buffer2，Buffer3，Buffer4中是否有数据（原本为空），假如有的话，则用对应的Buffer中的数据更新对应的File1，File2，File3，File4中的数据，写入文件，设为系统隐藏，实现对scheme.ini的更新。

从更新后的sys32\scheme.ini中根据UrlEx，Windata，UrlDll，选择cmdline，执行与线程ThreadProc1中同样的CreateProcess新建进程操作。

设置一个循环重复执行上述动作。

线程ThreadProc3，
循环检查Buffer1～Buffer4中是否有更新数据，有的话就更新File1～File4，scheme.ini。