Trojan-Downloader.Win32.Agent.qtx释放NtfdDisk.sys文件到%SystemRoot%System32 driver文件夹下，创建服务加载驱动，利用磁盘驱动技术穿透还原卡保护。此恶意程序会下载并运行30多个恶意程序，这些恶意程序主要用来盗取用户游戏账号。超级巡警团队提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。

 

一、病毒相关分析：

 

病毒标签：
        病毒名称：Trojan-Downloader.Win32.Agent.qtx
        病毒别名：机器狗变种
        病毒类型：木马下载者
        危害级别：3
        感染平台：Windows
        病毒大小：14,508(字节)
        SHA1　　：6DF4B5001073C10DC2B8E97A032A29525E9FBB42
        加壳类型：Upack

 

病毒行为：
        1、病毒运行以后释放文件：
           %SystemDrive%rmeslf.bat
           %SystemDrive%mahtesf.bat
           %System32%driversNtfdDisk.sys
           %SystemRoot%ctfmon.exe

        2、添加注册表创建名为NtfdDisk的服务、加载驱动并删除驱动文件                                              [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtfdDisk]

        3、利用释放的BAT文件，删除病毒释放到各个文件下的文件

        4、下载文件：http://jqm.htitm***.cn/1.txt
              根据该文件下载并运行以下文件
              http://xxx.dfasdaqwd.cn/***/aa1.exe
              http://xxx.dfasdaqwd.cn/***/aa2.exe
              http://xxx.dfasdaqwd.cn/***/aa3.exe
              http://xxx.dfasdaqwd.cn/***/aa4.exe
              http://xxx.dfasdaqwd.cn/***/aa5.exe
              http://xxx.dfasdaqwd.cn/***/aa6.exe
              http://xxx.dfasdaqwd.cn/***/aa7.exe
              http://xxx.dfasdaqwd.cn/***/aa8.exe
              http://111.dfasdaqwd.cn/***/aa9.exe
              http://111.dfasdaqwd.cn/***/aa10.exe
              http://111.dfasdaqwd.cn/***/aa11.exe
              http://111.dfasdaqwd.cn/***/aa12.exe
              http://111.dfasdaqwd.cn/***/aa13.exe
              http://111.dfasdaqwd.cn/***/aa14.exe
              http://111.dfasdaqwd.cn/***/aa15.exe
              http://222.dfasdaqwd.cn/***/aa16.exe
              http://222.dfasdaqwd.cn/***/aa17.exe
              http://222.dfasdaqwd.cn/***/aa18.exe
              http://222.dfasdaqwd.cn/***/aa19.exe
              http://222.dfasdaqwd.cn/***/aa20.exe
              http://222.dfasdaqwd.cn/***/aa21.exe
              http://222.dfasdaqwd.cn/***/aa22.exe
              http://333.dfasdaqwd.cn/***/aa23.exe
              http://333.dfasdaqwd.cn/***/aa24.exe
              http://333.dfasdaqwd.cn/***/aa25.exe【链接已失效】
              http://333.dfasdaqwd.cn/***/aa26.exe【链接已失效】
              http://333.dfasdaqwd.cn/***/aa27.exe【链接已失效】
              http://333.dfasdaqwd.cn/***/aa28.exe【链接已失效】
              http://444.dfasdaqwd.cn/***/aa29.exe【链接已失效】
              http://444.dfasdaqwd.cn/***/aa30.exe【链接已失效】
              http://444.dfasdaqwd.cn/***/aa31.exe【链接已失效】
              http://444.dfasdaqwd.cn/***/aa32.exe
              http://444.dfasdaqwd.cn/***/aa33.exe【链接已失效】
              http://444.dfasdaqwd.cn/***/aa34.exe【链接已失效】
              http://444.dfasdaqwd.cn/***/aa35.exe【链接已失效】

        5、利用磁盘驱动技术，穿透还原卡保护

 

 

二、解决方案

 

推荐方案：             
              下载超级巡警机器狗专杀工具，查杀病毒。
              下载地址：http://www.dswlab.com/d2.html

    手工清除方法：
　　         1、删除病毒下载的文件：
　　            %Temporary Internet Files%aa（*）.exe
　　         2、删除病毒添加的注册表：
　　            [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtfdDisk]
　　        注：*为1-35的数字

 

 

三、安全建议

 

 　　    1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。
　　     5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　     6、不要随便打开不明来历的电子邮件，尤其是邮件附件。
　　     7、不要轻易打开即时通讯工具中发来的链接或可执行文件。
　　     8、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。

 

 

 

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
　　     %SystemDrive% 　　     　　         系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　WINDODWS系统目录
　　     %ProgramFiles%　 　 　　      　　应用程序默认安装目录
　　     %AppData% 　　     　　                应用程序数据目录
　　     %CommonProgramFiles%　　       公用文件目录
　　     %HomePath% 　　     　　             当前活动用户目录
　　     %Temp% =%Tmp% 　　     　   　 当前活动用户临时目录
　　     %DriveLetter% 　　     　          　  逻辑驱动器分区
　　     %HomeDrive% 　　　     　　         当前用户系统所在分区