超级巡警团队监测到恶意程序Trojan-Downloader.Win32.Agent.alce，该病毒是利用MS08-067漏洞下载并执行的木马程序，MS08-067相关信息可参考《警惕：微软高危漏洞曝光，可导致蠕虫爆发》，病毒的主要功能是盗取用户信息、密码，超级巡警建议用户及时更新微软补丁，并提醒广大用户及时更新病毒库，对该程序进行有效查杀。

一、病毒相关分析：
       病毒标签：
          病毒名称：Trojan-Downloader.Win32.agent.alce
          中文名：  木马下载者
          病毒类型：木马
          危害级别：3
          感染平台：Windows
          病毒大小：397,312字节
          SHA1　：  A6C21166CD8D09D24FEFC10BBE896A231D14C564
          加壳类型：无壳
          开发工具：Microsoft C++

       病毒行为：
          1、病毒运行以后释放其他病毒文件。
               %System%\wbem\sysmgr.dll
               %Temp%\<随机名>.bat

          2、添加注册表服务相关键值，使病毒随windows启动时加载。
               HKLM\SYSTEM\CurrentControlSet\Services\sysmgr
               HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters\ServiceDll = "%System%\wbem\sysmgr.dll"
               HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters\ServiceMain = "ServiceMainFunc"
               HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\DisplayName = "System Maintenance Service"
               HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\ImagePath = "%SystemRoot%\System32\svchost.exe -k sysmgr"

          3、收集用户计算机信息、盗取用户密码、检查注册表HKLM\SOFTWARE\键是否有以下子键BitDefender、Jiangmin、KasperskyLab、Kingsoft、Symantec、rising、TrendMicro，来判断计算机是否安装反病毒软件，并将这些信息发送到IP：59.106.145.58。
  
          4、尝试链接IP地址：59.106.145.58，并下载后缀为.CAB的文件，保存到%System%\initproc02x.cab下，cab文件解压之后产生4个病毒文件。
               winbase.dll
               winbaseInst.exe
               basesvc.dll
               syicon.dll
          5、链接网络，下载病毒。
               59.106.145.58/n1.exe
               59.106.145.58/n2.exe
               59.106.145.58/n3.exe
               59.106.145.58/n4.exe
               59.106.145.58/n5.exe
               59.106.145.58/n6.exe
               59.106.145.58/n7.exe
               59.106.145.58/n8.exe
               59.106.145.58/n9.exe

 

二、解决方案
       推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
                        超级巡警下载地址：http://www.sucop.com/download/16.html

       手工清除方法：
              1、删除病毒生成的文件。
                   %System%\wbem\sysmgr.dll
                   %Temp%\<随机名>.bat
              2、删除病毒添加的注册表项。
                   HKLM\SYSTEM\CurrentControlSet\Services\sysmgr
                   HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters\ServiceDll = "%System%\wbem\sysmgr.dll"
                   HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\Parameters\ServiceMain = "ServiceMainFunc"
                   HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\DisplayName = "System Maintenance Service"
                   HKLM\SYSTEM\CurrentControlSet\Services\sysmgr\ImagePath = "%SystemRoot%\System32\svchost.exe -k sysmgr"

三、安全建议
       1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
       2、禁用不必要的服务。
       3、不要随便打开不明来历的电子邮件，尤其是邮件附件。
       4、不要随意下载不安全网站的文件并运行。
       5、下载和新拷贝的文件要首先进行查毒。
       6、不要轻易打开即时通讯工具中发来的链接或可执行文件。
       7、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。

 

 

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
              %SystemDrive%                                                             系统安装的磁盘分区
              %SystemRoot% = %Windir% WINDODWS                     系统目录
              %ProgramFiles%　                                                         应用程序默认安装目录
              %AppData%                                                                   应用程序数据目录
              %CommonProgramFiles%                                              公用文件目录
              %HomePath%                                                                当前活动用户目录
              %Temp% =%Tmp%                                                        当前活动用户临时目录
              %DriveLetter%                                                               逻辑驱动器分区
              %HomeDrive%                                                               当前用户系统所在分区