Win32.Troj.Agent.181248

这是一个木马下载器。病毒作者运用了大量加密解密技术来逃避安全软件的监控，然后将病毒注入其它进程空间运行，从网络上下载大量的恶意程序。

1、释放文件

释放文件%temp%\~1e2ab1a9506114473.tmp，这个文件名是根据用户系统的计算机名计算出来的
病毒根据用户系统的计算机名算出一个数字，假设其值为X。用~字符加上X的16进制加上X的10进制就形成了这个文件名
病毒在该文件里保存自己的EXE的路径

病毒将自己的配置信息保存在c:\windows\system32\kerberos.cpl中,这个文件名也是随机的。
病毒在system32目下随机挑选一个DLL的名字作为这个cpl文件的名字，但假如该文件已经存在的话，病毒就会用现成的了
该文件里保存了：病毒要用的CLSID值，病毒要生成的DLL的文件命等信息。

C:\WINDOWS\system32\eventvwr.dll在注册表中将该文件注册，该文件名是随机的
C:\WINDOWS\system32\mscorews.dll并不是DLL文件，病毒用次文件来存放一些日志
C:\WINDOWS\system32\shdocvs.dll并不是DLL文件，病毒用次文件来存放一些日志
C:\WINDOWS\system32\tlntadmn.dll并不是DLL文件，病毒用次文件来存放一些日志

2、修改注册表

添加为BHO，随浏览的启动，病毒就会被运行，这个CLSID是随机的，每次运行都会不同
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A}
HKEY_CLASSES_ROOT\CLSID\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A} @"eventvwr"
HKEY_CLASSES_ROOT\CLSID\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A}\InprocServer32 @"C:\WINDOWS\system32\eventvwr.dll"被注册的DLL
HKEY_CLASSES_ROOT\CLSID\{374FFD5F-2D01-4ABA-AE10-09B8AE07395A}\InprocServer32 ThreadingModel"Apartment"

3、利用挂钩将DLL注入到系统内的其他进程空间，下载盗号木马和其他病毒
下载的病毒被以根据系统时间算出来的随机名称，放在%TEMP%目录下。