文件名称：PrstService.exe

文件大小：636305 Bytes

AV命名：

Trojan.Win32.Agent.din(卡巴斯基)
Win32.Troj.Agent.636305（金山毒霸）
Hupigon.gen106（NORMAN）

加壳方式：eXPressor＋Aspack

编写语言：E语言

文件MD5：186823f32274604d1cdf7711867d4757

病毒类型：代理木马

行为分析：

1、释放病毒副本：

C:\WINDOWS\Fonts\ PrstService.jpg  636305 字节
C:\WINDOWS\system32\PrstService.dll  118784 字节
C:\WINDOWS\system32\ PrstService.exe  636305 字节

C:\Program Files\Internet Explorer下释放一些属性为隐藏的E语言支持库

2、添加注册表，开机启动：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Prstgressep

类别名:         {无类别}

值  0
  名称:            Type
  类型:            REG_DWORD
  数据:            0x110

值  1
  名称:            Start
  类型:            REG_DWORD
  数据:            0x2

值  2
  名称:            ErrorControl
  类型:            REG_DWORD
  数据:            0x1

值  3
  名称:            ImagePath
  类型:            REG_EXPAND_SZ
  数据:            C:\windows\system32\PrstService.exe

值  4
  名称:            DisplayName
  类型:            REG_SZ
  数据:            Prstgressep

值  5
  名称:            ObjectName
  类型:            REG_SZ
  数据:            LocalSystem

3、使用进程守护技术，每隔一段时间由注入进程的PrstService.dll监测。

如发现PrstService.exe被删除则从C:\WINDOWS\Fonts\ PrstService.jpg拷贝回去。

4、使用net view查找共享文件，这些文件可能会被恶意复制。

5、尝试启动IE连接外部，不过没有实现。

解决方法：

1、下载SRENG和POWERRMV（可到down.45its.com下载）。

2、打开POWERRMV，选上抑制杀灭对象生成，填入：

C:\WINDOWS\Fonts\ PrstService.jpg
C:\WINDOWS\system32\PrstService.dll
C:\WINDOWS\system32\ PrstService.exe

3、用SRENG删除系统服务项：Prstgressep。