天高云淡

此程序为Trojan类型程序

1.查找用户进程中是否存在卡巴斯基杀毒软件进程（avp.exe）,假如存在创建ggkb.bat文件，把用户系统时间修改为2005-01-18，使得该杀毒软件失效，同时查找”卡巴斯基反病毒软件 6.0: 通知”窗口，向其发送”WM_CLOSE”消息，关闭该杀毒软件进程, 运行完后该文件会把自己删除。

2.根据当前系统信息，生成一个8位随机数（如EEA1C1AE），把kowinIe和 kowin进行变换生成长度为8的新名字，并在System32目录下释放病毒本身和动态库并以新名字命名（如91CFD66E.EXE、4B0B329C.DLL）。

3.生成以上面随机数命名的服务实现开机自启动:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EEA1C1AE
EEA1C1AE = (ImagePath)C:\WINNT\System32\91CFD66E.EXE -k

4.启动生成的服务，把动态库注入到用户当前运行的所有进程中。

5.遍历磁盘，把自己命名为auto.exe拷备到所有的磁盘中，添加autorun.inf得用户双击打开磁盘时同时运行病毒。

6.添加以下键值把文件查看设置为不显示隐藏，达到隐藏自己的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL
CheckedValue = 0

7.在System32目录下生成delme.bat文件，运行该文件把自己删除掉。

8.动态库被加载后首先会连接http://alexa.xxx.cn网站，增加该网站的点击率，同时会启动4个线程：

第一个线程每隔2秒读取系统当前时间，假如当前时间不为2005年，则把当前时间修改为2005年，达到使卡巴斯基杀毒软件失效的作用。

第二个线程每隔3秒查看自己生成的服务是否存在，假如不存在则重新创建，使得用户无法删除该服务。

第三个线程每隔1秒修改以下键值破坏系统错误报告设置
HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\PCHealth\ErrorReporting
ReportBootOk = 1
DoReport = 0
ShowUI = 0
第四个线程每隔10秒检查文件隐藏键值和各个磁盘下的auto.exe是否存在，假如不存在，则重新创建。同时，从指定的网址下载一个病毒文件列表，根据该列表下载并运行病毒程序。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.32.12版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

危险等级：★★★
病毒名称：Trojan.Clicker.Win32.Agent.ymc
截获时间：2007-7-17
入库版本：19.32.12
类型：木马

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

全球化传播态势：中

破坏力：中

破坏手段：该病毒会下载不同类型的病毒，破坏手段各异