BKDR_PROTUX.SMZKEB-G

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

安(ān)装(zhuāng)

它在受感染的系统中(zhōng)植入下列自身副本：

• %User Temp%\{malware name}.exe
• %Windows%\LINKINFO.dll
• %User Temp%\cnagnt.dll
• %User Temp%\ppa{Random hex value}.tmp → temporary DLL
• %User Temp%\RCX{Random hex value}.tmp → temporary DLL
• %Application Data%\cnagnt.dll

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %Windows% 是 Windows 文(wén)件夹，通常位于 C:\WINDOWS 或 C:\WINNT。. %Application Data% 是当前用(yòng)户的 Application Data 文(wén)件夹，通常位于 C:\Windows\Profiles\{user name}\Application Data (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT) 和 C:\Documents and Settings\{user name}\Local Settings\Application Data (Windows 2000、XP 和 Server 2003)。)

它植入下列文(wén)件：

• %User Temp%\1.txt → Contains the malware's process information. Deleted afterwards.
• %User Temp%\ppa{Random hex value}.tmp.vbs
• {Malware path}\q.bat → Uninstall itself. Deleted afterwards.

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)

它开始执行然后再删除。

它添加下列互斥条目，确保一次只会运行一个副本：

• tmutexabc

自启动技(jì )术

它创建下列注册表项，以便每次系统启动时自动执行植入的组件:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Conime = "%System%\rundll32" "%User Temp%\ppa{Random hex value}.tmp",Sd

它将下列文(wén)件植入 Windows 启动文(wén)件夹，以便在系统每次启动时自动执行：

• %User Startup%\Conime.lnk
• %User Startup%\Conime.exe

(注意: %User Startup% 是当前用(yòng)户的启动文(wén)件夹，通常位于 C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup (Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup (Windows NT) 和 C:\Documents and Settings\{User name}\「开始」菜单\程序\启动。)

其他(tā)系统修改

它添加下列注册表项：

HKEY_CURRENT_USER\Control Panel\Desktop
WaitToKillAppTimeout = 1000

后门例程

它执行遠(yuǎn)程恶意用(yòng)户的下列命令：

• Upload victim information.
• Execute a batch script, executable file or DLL file.