天高云淡

此程序为Worm类型程序

1、病毒运行后把系统时间往后调21年。让一些杀软过期，这样可以轻松躲过杀毒软件。

2、自我复制到系统中，让用户不能轻意找到它。病毒会把自己复制到
C:\WINDOWS\system32\IME\svchost.exe
C:\WINDOWS\system32\internt.exe
C:\WINDOWS\system32\progmon.exe

并把文件属性设置为隐藏，使用户不能在正常方式下看到文件。

3、修改注册表项，当系统启动时，病毒随系统一同启动。

（1）禁止用户查看隐藏文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL
“CheckedValue” = 0X00000000
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
“Internt” = %SYSTEM%\INTERNT.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Program file” = %SYSTEM%\PROGMON.EXE

（2）用启用服务的方式，把自己启动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM (Display Name)Alerter COM = (IMAGEPATH)%SYSTEM%\IME\SVCHOST.EXE

4、自动在%system32%temp生成RS.Bat把自己删除，清理痕迹。

5、下载：

启动一个例程，创建一个互斥：Alerter COM ，保证进程中只有一个病毒在运行。

从下列网址下载并运行病毒。http://www.xxx.com/yxyhack/muma.exe|http://blog.csdn.net/yxyhack/muma2.exe

6、反杀毒软件

(1) 把系统时间向后调21年，使杀软过期。

（2）关闭含有非凡字符串的窗口

7、传播

病毒会遍历C盘到Z盘，在每个磁盘目录下建立autorun.inf。尝试暴力猜取局域网密码，并把自己传播到局域网的机器中。

8、在本机打开一个端口，去连接指定地址。控制端可以通过这个端口来发送命令来控制本机。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到20.21.51版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

危险等级：★★★
病毒名称：Worm.Win32.Agent.zfm
截获时间：2007-12-07
入库版本：20.21.51
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

清除难度：困难

破坏力：低