TrojanClicker.Agent.ear“代理木马”变种ear是“代理木马”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。该病毒的图标会被设置成某应用软件的样式,以此诱骗用户点击运行。“代理木马”变种ear运行时,会自我复制到被感染系统的“%SystemRoot%mui”文件夹下,重新命名为“mui.exe”。将“%SystemRoot%system32”文件夹下的“wscript.exe”复制到新创建的隐藏文件夹“%SystemRoot%Offline Web Pages369”下,之后重新命名为“369safe.exe”。其会在“%SystemRoot%Offline Web Pagesico”下释放图标文件“tx2.ico”、“tao.ico”、“mv.ico”、“movie.ico”、“hao123.ico”、“game.ico”,在“%SystemRoot%”下释放注册表文件“regedit.reg”并调用执行,在桌面上生成恶意脚本文件“hao123导航.tx4”、“在线小游戏.tx2”、“高清电影.tx5”、“Internet Explorer.tx”。其还会删除“%USERPROFILE%Application DataMicrosoftInternet ExplorerQuick Launch”文件夹下的IE快捷方式,然后创建一个名为“Internet Explorer.tx”的假冒快捷方式诱骗用户点击。在被感染系统的北京做网站公司后台定时访问指定的站点“hxxp://dh.dh*19.com/tj.html?1004”,以此提高这些网站的访北京网页设计问量(网络排名),从而给骇客带来了非法的经济利益。
