天高云淡

这是一个Delphi编写的病毒，病毒主要功能为下载并运行其它可疑文件，具有反杀毒软件的功能。

1．病毒运行后起一个进程加载病毒主文件zsmscc070923.exe，放出如下文件：
%windows%\System32\zsmscc070923.exe
%WINDOWS%\zsmscc16.ini
%WINDOWS%\System32\zsmscc070923.dll
%WINDOWS%\System32\zsmscc32.dll
C:\downf.bat
C:\nmDelm.bat

配置文件zsmscc.ini并放出zsmscc070923.dll，利用Rundll32.exe加载并运行zsmscc070923.dll中的代码。最后放出nmDelm.bat和downf.bat两个文件。运行nmDelm.bat，downf.bat实现病毒主文件运行后删除。

2．病毒创建一个线程，此线程的功能为关闭杀毒软件预警的窗口，使得病毒预警模块失效。主要实现步骤如下：

延迟2毫秒执行此如下功能一次，调用FindWindow查找名为”IE执行保护”，”瑞星卡卡上网助手-IE防漏墙”，”AVP.Product_Notification”，”AVP.TrafficMonConnectionTerm”，调用SendMessage发送SC_CLOSE消息关闭这些窗口；

如发现”安全警告”，”AVP.AlertDialog”的窗口，则查找起窗口内的名为”AVP.Button”，”答应”， “允許”， “跳过”， “跳過”等按扭，调用SendMessage发送BM_CLICK消息来模拟用户点击。这样会导致病毒 运行后，卡卡上网助手和AVP的某些功能同于无形。

3．zsmscc070923.dll会对当前顶层窗口进行窗口标题的判定。假如窗口标题中出现以下要害词：“卡巴斯基”，“360safe”，“安全卫士”，“雅虎助手”，“Windows 任务治理器”， “Symantec AntiVirus”，“kaspersky”，“jiangmin”，“金山反间谍”，“注册表编辑器”，“启动治理”，“启动项治理”，“进程治理”，“进程项治理”，“系统配置实用程序”，则对该窗口发送WM_SYSCOMMAND, SC_CLOSE消息，关闭窗口。这样做会使没有进行该消息过滤的窗口退出，使这些保护、治理工具失效。

4．放出的zsmscc32.dll的主要功能如下：起远程线程将zsmscc32.dll驻入到iexplore.exe进程中，调用urlmon.dll!URLDownloadToFile，WinExec等API函数下载病毒自身，可能是为了日后及时升级该自身程序。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.44.10版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

危险等级：★★★
病毒名称：Trojan.DL.Win32.Agent.zig
截获时间：2007-10-8
入库版本：19.44.10
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

破坏力：低

清除难度：一般

破坏手段：下载恶意程序并执行