病毒名称(中文):无影下载器208896病毒别名:威胁级别:★☆☆☆☆病毒类型:木马下载器病毒长度:208896影响系统:Win9xWinMeWinNTWin2000WinXPWin2003

　　病毒行为:

　　这是一个由C语言编写的下载器程序。它具有一定程序的对抗能力，会试图关闭一些安全软件的服务，然后执行下载。在运行的后期，该毒会删除自己所下载木马的原始文件。

　　1.病毒修改如下注册表键:

　　SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced[Hidden]

　　SoftwareMicrosoftWindowsCurrentVersionpoliciessystem[DisableTaskMgr]

　　SoftwareMicrosoftWindowsCurrentVersionpoliciessystem[DisableRegistryTools]

　　SOFTWAREMicrosoftSecurityCenter[AntiVirusOverride][AntiVirusDisableNotify][FirewallDisableNotify][UacDisableNotify][FirewallOverride][UpdatesDisableNotify]

　　SoftwareMicrosoftWindowsCurrentVersionpoliciessystemSvc同上

　　SoftwareMicrosoftWindowsCurrentVersionInternetSettings[GlobalUserOffline]

　　SoftwareMicrosoftWindowsCurrentVersionpoliciessystem[EnableLUA]

　　SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList病毒路径:*:Enabled:ipsec

　　2.病毒修改System.ini文件，检查Section"MCIDRV_VER",KeyDEVICEMB,若不存在则添加，数值为随机数。

　　3.病毒释放驱动文件，C:WINDOWSsystem32driversxxxxxx.sysxxxxxx为随机生成。

　　4.病毒删除注册表项SystemCurrentControlSetControlSafeBoot

　　5.病毒启动新线程，尝试删除如下服务(驱动):

　　AgnitumClientSecurityService

　　Amonmonitor

　　aswUpdSv

　　aswMon2

　　aswRdr

　　aswSP

　　aswTdi

　　aswFsBlk

　　avast!iAVS4ControlService

　　avast!Antivirus

　　等...

　　6.病毒检查当前进程列表，尝试中止如下进程:

　　_AVPM

　　A2GUARD

　　AAVSHIELD

　　AVAST

　　ADVCHK

　　等...

　　7.病毒创建线程，在临时文件夹中搜索.exe以及.rar文件，搜索到后删除。

　　8.病毒创建线程，在c:搜索.vdb,.avc文件，找到后删除。

　　9.病毒创建新线程，取保存的url地址，生成随机数并拼接为下载地址，下载至临时文件，并执行，同时，创建新线程循环尝试删除刚刚下载的文件。url如下:

　　http://8_.11_._7.__4/te____5/?1e7712=13805197

　　http://kuk____tn_t__7.in__/___e.gif?252324=24270930

　　http://kuk____tn_t__8.in__/___e.gif?26bfad=5078874

　　等。