警惕木马下载器Trojan-Downloader.Win32.Agent.tpl
该病毒为下载者木马类,该病毒利用了加密手段将API全部加密,以达到躲避杀软的查杀,运行后在%Windir%目录下创建tempaq文件夹,调用internetopenurla函数打开一个HTTP连接地址,然后调用堆栈 InternetReadFile函数读取网页上的内容:将网页文件保存到tempaq文件夹,并隐藏运行,经分析网页的内容为PE格式文件。
清除方案:
1.
使用安天防线2008可彻底清除此病毒(推荐)。
2.
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)
使用ATOOL“进程管理”结束该病毒相关进程
(2)
删除病毒下载后衍生的文件
1.
%system32%\drivers\dnnpgw6m.sys
2.
%system32%\drivers\dnnpgw6m.sys
3.
%system32%\system32\h0gq2mpll.dll
相关链接参见:http://www.antiy.com/security/report/20080617.htm
