TrojanDropper.Agent.pyx“代理木馬”變種pyx是“代理木馬”木馬家族中的最新成員之一,采用“Microsoft Visual C++ 7.0”編寫(xiě)。“代理木馬”變種pyx運(yùn)行后,會(huì)自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SYSTEMROOT%\system32\”目錄下,并重新命名為“compbatc.exe”。同時(shí),還會(huì)向系統(tǒng)文件夾中釋放病毒文件,并設(shè)置這些病毒文件的時(shí)間屬性為系統(tǒng)創(chuàng)建日期,以此來(lái)迷惑用戶,防止用戶通過(guò)文件時(shí)間來(lái)查找病毒文件。創(chuàng)建“svchost.exe”進(jìn)程,將自身及病毒文件注入其中運(yùn)行;之后將病毒自身進(jìn)程結(jié)束,以達(dá)到隱蔽自我,防止被用戶和安全軟件輕易發(fā)現(xiàn)、查殺的目的。在被感染計(jì)算機(jī)中注冊(cè)名為“compbatc”和“compbatcDrv”的系統(tǒng)服務(wù),以此實(shí)現(xiàn)木馬在開(kāi)機(jī)后的自啟動(dòng)。在被感染計(jì)算機(jī)的后臺(tái)遍歷當(dāng)前系統(tǒng)中的所有進(jìn)程,一旦發(fā)現(xiàn)指定的進(jìn)程存在,便會(huì)以多種方式嘗試將其結(jié)束;篡改系統(tǒng)Hosts文件,阻止用戶升級(jí)殺毒軟件或訪問(wèn)某些與安全相關(guān)的網(wǎng)站,不但降低了用戶計(jì)算機(jī)抵御風(fēng)險(xiǎn)的能力,并且為病毒的進(jìn)一步破壞做好了鋪墊。在被感染計(jì)算機(jī)的后臺(tái)秘密下載駭客指定的病毒配置文件“http://www.ush******art.com/kernel/cmd.txt”,并根據(jù)配置文件的設(shè)置下載惡意程序并調(diào)用運(yùn)行。其中,所下載的惡意程序包括網(wǎng)絡(luò)游戲盜號(hào)木馬、遠(yuǎn)程控制后門(mén)或惡意廣告程序(流氓軟件)等,會(huì)給用戶造成不同程度的損失。同時(shí),“代理木馬”變種pyx還會(huì)根據(jù)配置文件中的參數(shù),使用多種DDoS手段向指定的目標(biāo)發(fā)起惡意攻擊,對(duì)互聯(lián)網(wǎng)的安全環(huán)境造成了更大的沖擊和破壞。另外,該木馬程序還具備自我更新以及向駭客報(bào)告用戶感染情況的功能。