典型間諜木馬-Win32.Troj.Agent.km.52224

【賽迪網-IT技術報道】這個木馬沒有固定的文件名，它進入系統後，就把自己複製到%WINDOWS%/system32/目錄下，名字隨機生成，並刪除原始文件。然後就修改註冊表，將自己設置為開機自啟動。

病毒運行起來後，會注入桌面進程explorer.exe，隱蔽運行，並連接病毒作者指定的地址6*.2*.1*8.221，下載最新版本的自己，實現更新，然後就開始作案。

它對用戶最大的威脅，在於它能夠讀取IE的緩存，記錄用戶的網頁瀏覽記錄，以及用戶使用msn、google、yahoo、aol、icq等搜索引擎時所 輸入的關鍵詞記錄。同時，它還會檢查用戶使用的瀏覽器是哪種。毒霸反病毒工程師猜測，當這些資料被發送到病毒作者手中，可能會被用於統計用戶的上網習慣， 以幫助病毒作者有針對性的開發廣告木馬。

另外，此木馬有個特點，就是病毒作者能夠給它指定發作地區。它檢查系統中ControlPanel/International的鍵值iCountry、 Nation，判斷當前電腦的所在國家，如果發現是病毒作者指定的國家，就立即運行，如果不是，則沉默等待。毒霸反病毒工程師認為，這是病毒作者實現「精 確攻擊」的辦法，這使得他們能獲取最準確的某區域用戶信息。

關於該病毒的詳細分析報告，請點擊:Win32.Troj.Agent.km.52224木馬病毒分析

(