机器狗变种 病毒分析与解决方案

    Trojan-Downloader.Win32.Agent.mkj释放Phyhd.sys文件到%SystemRoot%System32driver文件夹下，并向正常的exlorer.exe文件写入数据，造成用户的explorer.exe进程崩溃，并利用磁盘驱动技术穿透还原卡保护。此恶意程序会下载并运行30多个恶意程序，这些恶意程序主要用来盗取用户游戏账号。超级巡警团队提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。
 一、病毒相关分析：
      病毒标签：
        病毒名称：Trojan-Downloader.Win32.Agent.mkj
        病毒别名：机器狗变种
        病毒类型：木马下载者
        危害级别：3
        感染平台：Windows
        病毒大小：30,496(字节)
        SHA1　　：70290312EFD7A3A1D9FBCE33E7B31CB98C05C373
        加壳类型：Upack
 
     病毒行为：
        1、病毒运行以后释放文件：
           %SystemDrive%emsf.bat
           %SystemDrive%emsf1.bat
           %SystemDrive%emsf3.bat
           %SystemDrive%tempdat.dat
           %SystemDrive%Upack.exe
           %System32%driversPhyhd.sys
           %SystemRoot%ctfmon.exe
           %SystemRoot%temp.dat
        2、添加注册表创建名为Phyhd的服务、加载驱动并删除驱动文件                                                         [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPhyhd]
        3、添加注册表允许代理
           [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]
           "ProxyEnable"=DWORD:00000000
           [HKEY_CURRENT_CONFIGSoftwareMicrosoftWindowsCurrentVersionInternet Settings]
           "ProxyEnable"=DWORD:00000000
           修改注册表将代理设置为可用
           [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings]
           "MigrateProxy"=DWORD:00000000-->"MigrateProxy"=DWORD:00000001
        4、利用释放的BAT文件，删除病毒释放到各个文件下的文件
           emsf.bat：
           :Repeat1
           del "C:WINDOWSctfmon.exe"
           if exist "C:WINDOWSctfmon.exe" goto Repeat1
           cd C:
           del %0
           emsf1.bat：
   &nbs