Win32.Troj.Agent.ie.302080

核心提示：病毒名称(中文):广告弹出器302080病毒别名:威胁级别:★★☆☆☆病毒类型:广告软件病毒长度:302080影响系统:Win9xWinMeWinNTWin2000WinXPWin2003病毒行为:这是个广告木马，它会劫持系统文件，Win32.Troj.Agent.ie.302080，然后频繁弹出广告页面，该毒还具有自

病毒名称(中文): 广告弹出器302080
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 广告软件
病毒长度: 302080
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是个广告木马。它会劫持系统文件，然后频繁弹出广告页面。该毒还具有自我更新功能。

1.样本msns*.dll先设置钩子注入explorer.exe。
2.下载读取http://www.X***XXX.net/bo/update.ini更新配置文件，下载里面的病毒更新程序http://www.X**X.cn/news/BO1011.exe到Temp目录。
3.会弹出http://unions.X***XXX.net/softConfig_new.jsp?userID=%userID%&validationID=%validationID%&agentID=%agentID%&version=%version%&visitCount=%visitCount%&existTime=%existTime%广告。
4.遍历RUN键值下的所有项，并以其名字建立映像劫持。
5.建立计划任务%windir%\Tasks\MsUpdateTask.job，每个3分钟运行一次。
6.更新程序BO1011.exe，会释放%temp%\nsz[*].tmp\BackOperHelper.dll文件([*]为数字，从1开始往上加).
7.BackOperHelper.dll会算出随机字符连接到msns后,连接成msns*.dll的确定文件名。
8.BO1011.exe会将msns*.dll释放资源到%windir%\下。
9.BO1011.exe释放fanti.sys和regti.sys两个驱动到%windir%下
10.BackOperHelper.dll将%windir%下的fanti.sys和regti.sys两个驱动复制到%windir%\system32\drivers下，并创建相应的服务。
11.fanti.sys，regti.sys会获取驱动启动信息进行对比，出现错误写入%windir%\system32\regti.LOG
12.msns*.dll创建HKLM\SOFTWARE\Microsoft\Service里面写入中毒的时间。
13.msns*.dll创建HKLM\SYSTEM\CurrentControlSet\Services\Reserve\file键值，将自己路径写入。