Trojan-Clicker.Win32.Agent.av病毒运行后，衍生病毒文件到系统多个目录下，添加注册表自动运行项以跟随系统引导病毒体。病毒体修改用户主页设置，遍历磁盘所有html文件，并插入恶意语句，以达到使用户主动连接指定网址的目的。病毒通过在所有驱动器根目录下创建自动运行文件及其副本传播自
身。

Trojan-Clicker.Win32.Agent.av病毒运行后的行为如下：

1、文件运行后会释放以下文件：
　　　　%DriveLetter%\autorun.inf
　　　　%DriveLetter%\niu.exe
　　　　%System32%\Autorun.inf
　　　　%System32%\crsss.exe
　　　　%System32%\d.txt
　　　　%System32%\test1.txt
2、新增注册表：
　　　　HKEY_CURRENT_USER\Software\Policies\Microsoft
　　　　\Internet Explorer\Control Panel\
　　　　新键值：字串:HomePage
　　　　类型: DWORD
　　　　值： "1 (0x1"
　　　　描述:用以禁用"IE属性"=>"常规"=>"主页设置"
　　　　
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　　　\CurrentVersion\Run
　　　　新键值：crsss
　　　　类型: REG_SZ
　　　　值：: C:\WINDOWS\System32\crsss.exe
　　　　
　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　　　\CurrentVersion\Policies
　　　　\WindowsUpdate s"
　　　　类型:：REG_DWORD
　　　　新键值：字串: "DisableWindowsUpdateAcces
　　　　值：01, 00, 00, 00
　　　　描述：关闭Windows自动更新
3、修改注册表：
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
　　　　\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
　　　　新键值：字串：" DWORD: 0 (0x0)"
　　　　原键值：字串：" DWORD: 1 (0x1)"
　　　　描述：用以去掉"文件夹选项"中"显示所有文件和文件夹"项
　　　　
　　　　 HKEY_CURRENT_USER\Software\Microsoft
　　　　\Internet Explorer\Main\Start Page
　　　　原键值：字串：" about:blank"
　　　　新键值：字串："http://dhz.810***.org.
　　　　描述：修改用户主页
4、遍历磁盘所有html文件，插入下列恶意语句：
　　　　<IfrAmE src=http://www.810***.org width=0 height=0></IfrAmE>
5、病毒运行后，创建自删除bat文件删除自身。
网络行为：
1、主动连接下列地址：
　　　　htttp://60.191.196.**/index.txt
　　　　http://www.810***.org/index2.txt
　　　　http://www.hao***.com
　　　　http://www.810***.org/index.txt
　　　　www.810***.org(58.221.254.**) Host: dhz.810***.org/

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　

Trojan-Clicker.Win32.Agent.av杀毒方案：

1 杀毒工具：AVG Anti-Spyware 7.5(Ewido)　

2. 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)关闭病毒进程：%System32%\crsss.exe
　 　 (2)删除病毒文件：　
　 　 　 　 %DriveLetter%\autorun.inf
　 　 　 　 %DriveLetter%\niu.exe
　 　 　 　 %System32%\Autorun.inf
　 　 　 　 %System32%\crsss.exe
　 　 　 　 %System32%\d.txt
　 　 　 　 %System32%\test1.txt 　 　 　 　 　
　 　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项。