病毒名称： Trojan.Win32.Agent.cw

　　病毒类型： 木马

　　文件MD5： 7346FC4576A589F8CB20AB80D2C6A016

　　文件长度： 93,701 字节

　　感染系统： Windows98以上版本

　　加壳类型： PECompact 2.x

　　病毒描述：

　　该病毒为木马类，病毒运行后衍生病毒文件到系统目录。创建服务，并以服务的方式达到随机启动的目的。连接网络下载病毒文件;通过恶意网站、其它病毒/木马下载传播;该病毒可以盗取用户敏感信息。

　　行为分析：

　　1、文件运行后会衍生以下文件

　　%System32%\mdn.exe 61,952

　　2、创建服务，并以服务的方式达到随机启动的目的：

　　服务名称：Accelerator Tools

　　显示名称：Messenger Accelerator

　　描述语言：空

　　文件路径：c:\WINDOWS\system32\mdn.exe

　　启动方式：自动

　　3、修改注册表，改变Internet Settings中的默认路径，由当前用户文件夹改为LocalService文件夹。

　　4、连接网络下载病毒文件

　　5、通过恶意网站、其它病毒/木马下载传播;该病毒可以盗取用户敏感信息。

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量;路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp

　　%System32% 是一个可变路径;

　　病毒通过查询操作系统来决定当前System32文件夹的位置;

　　Windows2000/NT中默认的安装路径是　C:\Winnt\System32;

　　Windows95/98/Me中默认的安装路径是　C:\Windows\System;

　　WindowsXP中默认的安装路径是　C:\Windows\System32。

　　清除方案：

　　1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool(安天安全管理工具)。

　　(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

　　(2) 强行删除病毒文件

　　%System32%\mdn.exe 61,952

　　(3) 禁用服务Accelerator Tools