TrojanDownloader.Agent.acjd“代理木马”变种acjd是“代理木马”木马下载器家族中的最新成员之一，采用“Delphi”语言编写，并且经过加壳保护处理。

　　1、“代理木马”变种acjd运行后：

　　①会自我复制到被感染计算机系统的“%SystemRoot%system”目录下，并重新命名为“zyndle080907.exe”。病毒主安装程序执行完毕后会自我删除。

　　②会在被感染计算机系统的“%SystemRoot%system”目录下释放多份恶意DLL功能组件文件（文件大小为：48,128 字节，采用“Borland Delphi”编写，未经过加壳保护处理），分别是：zyndld32080907.dll、zyndld32080907jt.dll。

　　③还会在被感染计算机系统的“Documents and SettingsAll Users”目录下创建一个病毒配置文件“zyndf16.ini”（病毒的更新日期和版本信息等）。

　　2、“代理木马”变种acjd会在被感染计算机的后台遍历当前系统中的所有进程：

　　①如发现进程“avp.exe”（卡巴斯基杀毒软件进程名称）存在，就会修改系统日期，尝试利用“卡巴斯基杀毒软件”存在的“时间判断”缺陷去使其杀毒、保护功能过期失效，达到自我保护的目的。

　　②如发现安全软件进程（“RUNIEP.EXE”、“KRegEx.exe”、“KVXP.kxp”、“360tray.exe”、“RSTray.exe”）存在，便会自动通过“ntsd -c q -p”命令去尝试强行结束掉这些安全软件的进程，达到自我保护的目的。

　　3、“代理木马”变种acjd会将释放出来的恶意DLL组件插入到系统桌面程序“explorer.exe”的进程中加载运行，隐藏自我，防止被发现和查杀。

　　4、“代理木马”变种acjd尝试访问网络时，会在被感染计算机的后台调用系统IE浏览器进程“iexplore.exe”，并将释放出来的恶意DLL组件程序“zyndld32080907.dll”插入到其进程中，然后加载运行，去执行网络秘密通信等恶意操作。这样可以利用用户设置的白名单机制来绕过防火墙的监控，从而达到隐蔽通信的目的。

　　5、“代理木马”变种acjd会在被感染计算机系统的后台连接骇客指定远程服务器站点“http://download.9234.net/”获取“恶意程序下载地址列表”文件“down333.htm”，然后下载“列表”中的所有恶意程序并在被感染计算机上自动调用安装运行。其中，所下载的恶意程序为“木马下载器程序”、“恶意流氓软件”、著名下载软件“迷你快车”商业版等，可能会在被感染计算机系统中下载安装其他恶意软件、弹出恶意广告窗口等，会给用户的计算机安全带去不同程度的威胁。

　　6、“代理木马”变种acjd具有进程守护功能，当病毒发现后台运行着的自身调用的IE浏览器进程“iexplore.exe”被用户结束掉时（根据类名“CabinetWClass”和“IEFrame”来判断），就会马上利用被注入的系统桌面程序进程“explorer.exe”去把IE浏览器进程“iexplore.exe”重新调用运行起来，然后继续去执行恶意操作。

　　7、“代理木马”变种acjd具有自动更新功能，会根据配置文件“zyndf16.ini”和“down333.htm”来决定自身是否需要升级更新。

　　8、“代理木马”变种acjd可能具有利用U盘、移动硬盘、SD卡等移动存储设备进行自我传播的功能。

　　9、“代理木马”变种acjd会通过在被感染计算机系统注册表启动项中添加新键“nzy_df”的方式，来实现木马下载器病毒开机自枚?/p>