出处：超级巡警团队 时间：2008年07月01日

    近日，由超级巡警团队监控数据显示，链接恶意程序Trojan-Downloader.Win32.Agent.utr的网马数量巨增。该程序利用驱动程序穿透还原软件，并下载大量游戏盗号木马。严重威胁了广大用户的隐私与利益，超级巡警团队提醒广大网友及时升级更新病毒库，查杀该恶意程序。  
 一、病毒相关分析：
      病毒标签：
        病毒名称：Trojan-Downloader.Win32.Agent.utr
        病毒类型：木马下载者
        危害级别：3
        感染平台：Windows
        病毒大小：16,992(字节)
        SHA1　　：086abc1f7e4794f7beac76cb3558f2b5360093cf
        加壳类型：UPack
        开发工具：VC
     病毒行为：
        1、程序运行后，释放文件：
　　　　   %Windir%\****.exe              (7,284 字节)
　　　　   //*为一位随机字母
　　　　　 //此文件伪造Windows版权信息，伪装为系统文件
　　　　   %System%\drivers\ntdapi.sys    (7,520 字节)
　　　　   复制%Windir%\explorer.exe到%System%目录
        2、加载驱动文件ntdapi.sys，并注册为服务Ntdapi。用来直接读写磁盘。
        3、****.exe文件执行后
　　　　   调用以下命令，关闭ESET Smart Security和NOD32程序：
　　　　   taskkill /im ekrn.exe /f
　　　　   taskkill /im egui.exe /f
　　　　   taskkill /im nod32krn.exe /f
　　　　   taskkill /im nod32kui.exe /f
        4、读取文件http://cao.*****.com/down.txt，并根据该文件下载下列其他文件
　　　　   http://111.*****.net/cao/aa1.exe
　　　　   http://111.*****.net/cao/aa2.exe
　　　　   http://111.*****.net/cao/aa3.exe
　　　　   http://111.*****.net/cao/aa4.exe
　　　　   http://111.*****.net/cao/aa5.exe
　　　　   http://111.*****.net/cao/aa6.exe
　　　　   http://222.*****.net/cao/aa7.exe
　　　　   http://222.*****.net/cao/aa8.exe
　　　　   http://222.*****.net/cao/aa9.exe
　　　　   http://222.*****.net/cao/aa10.exe
　　　　   http://222.*****.net/cao/aa11.exe
　　　　   http://222.*****.net/cao/aa12.exe
　　　　   http://444.*****.net/cao/aa13.exe
　　　　   http://444.*****.net/cao/aa14.exe
　　　　   http://444.*****.net/cao/aa15.exe
　　　　   http://444.*****.net/cao/aa16.exe
　　　　   http://444.*****.net/cao/aa17.exe
　　　　   http://444.*****.net/cao/aa18.exe
　　　　   http://555.*****.net/cao/aa19.exe
　　　　   http://555.*****.net/cao/aa20.exe
　　　　   http://555.*****.net/cao/aa21.exe
　　　　   http://555.*****.net/cao/aa22.exe
　　　　   http://555.*****.net/cao/aa23.exe
　　　　   http://555.*****.net/cao/aa24.exe
　　　　   http://111.*****.net/cao/aa25.exe
　　　　   http://222.*****.net/cao/aa26.exe
　　　　   http://444.*****.net/cao/aa27.exe
　　　　   http://555.*****.net/cao/aa28.exe
　　　　   将以上文件以“四位随机字母+数字”的命名方式另存到%System%目录，并执行
　　　　   //以上文件均为游戏盗号木马　

 
 二、解决方案
    推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    　  　  超级巡警下载地址：http://www.sucop.com
三、安全建议
　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。
　　     5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　     6、禁用不必要的服务。
　　     7、及时更新常用软件，尤其是聊天工具。
　　     8、不要随便打开不明来历的电子邮件，尤其是邮件附件。
　　     9、不要随意下载不安全网站的文件并运行。

 
  注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变
　　 量指%Windir%\System32。其它：
　　     %SystemDrive% 　　     　　 系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　WINDODWS系统目录
　　     %ProgramFiles%　 　 　　　　应用程序默认安装目录
　　     %AppData% 　　     　　     应用程序数据目录
　　     %CommonProgramFiles%　　    公用文件目录
　　     %HomePath% 　　     　　    当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　 当前活动用户临时目录
　　     %DriveLetter% 　　     　　 逻辑驱动器分区
　　     %HomeDrive% 　　　     　　 当前用户系统所在分区