瑞星卡卡安全论坛

样本：dts3212.exe。
文件大小：152K；MD5：35be7a3408bc1a9c29538c25cd77b2d3

运行后的动作：

1、释放文件：
%WINDOWS%\system32\taskmagr.exe
%WINDOWS%\system32\mswmdmsrv.dll
%Currentuser%\temp\pwhkdb.bat（删除dts3212.exe及自身）
2、写注册表：
1、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager分支添加：
"PendingFileRenameOperations"=\??\C:\windows\system32\mswmdmsrv.dll.tmp
2、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSN\Parameters分支添加：
"ServiceDll"=%SystemRoot%\System32\mswmdmsrv.dll

附件为样本及其释放的程序（无密码）。

 附件: 您所在的用户组无法下载或查看附件

用户系统信息：Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1

感谢您对瑞星的支持，您所上报的文件已经收集，我们会抓紧分析并跟帖回复。

1、文件名：dts3212.exe

病毒名：Dropper.Win32.Agent.zwn

2、文件名：taskmagr.exe

病毒名：Trojan.Win32.Nodef.ebd

3、文件名：mswmdmsrv.dll

病毒名：Trojan.Win32.Nodef.ebd

4、文件名：pwhkdb.bat
不是病毒


您所上报的病毒文件将在瑞星2009的21.18.42版本中处理解
决，如遇特殊情况可能会推后几个版本。