剖析木马病毒Win32.Troj.Agent.km.52224

Win32.Troj.Agent.km.52224是一个间谍木马程序，它能够记录用户的系统数据和所在地区，以及用户使用搜索引擎时输入的关键词，然后将这些信息发送给病毒作者。该毒有一个特点，就是病毒作者可以给它指定发作地区。

病毒名称:精确制导监视器

威胁级别:★★☆☆☆

病毒类型:木马程序

病毒长度:52224

影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

1. 创建线程explorer.exe，删除自身。

2. 将自身复制到c:\WINDOWS\system32目录下，名字随机生成。

3. 在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon增加记录system，值为生成的文件名。

4. 将自身文件映射到内存，从6*.2*.1*8.221下载文件到该映射，即覆盖文件。

5. 检查父进程是否是explorer，若不是则将其关闭。

6. 给自身创建并开启服务，服务名为Windows Tribute Service。

7. 从IE的缓存中检查访问过的网址。

检查IE缓存，将msn、google、yahoo、aol、icq等等搜索引擎所使用过的关键词记录到缓存；

检查当前浏览器是iexplore.exe还是firefox.exe，将上面的信息发送给1*1.*9.0.2。

8. 检查Control Panel\International的键值iCountry、Nation判断所在的国家，可以通过此处来设定在特定的国家执行该病毒，这里没有设定。

9. 将系统目录下的exe文件创建进程执行一次，然后关闭，得到一个能执行的exe文件，然后再创建进程执行，并且调用一组API将得到的信息写入到该进程申请的空间中去。

10. 打开explorer.exe进程，将自身代码以及信息注入进去，然后恢复线程执行。