样本：
http://bbs.ikaka.com/showtopic-8679704.aspx

报毒名称是：
Worm.Win32.Agent.axa
[Rising]


在我这好像运行不完全


行为监控：
【先看着图，要上课去了，有空会补充】
冰刃禁止进程创建挂掉了wuauolt.exe
但是那个释放的dll却卸载模块后又复活
有空会进一步分析


ukkjd.dll
000044B0  26 3D 4F 38 C2 82 37 B8 F3 24 42 03 17 9B 3A      &=O8聜7阁$B晻?
000044C0  01 00 00 8C 00 00 00 00 07 00 00 00 01 F4 68 69  晻晫晻晻晻晻曯hi
000044D0  64 65 00 10 55 54 79 70 65 73 00 00 C7 53 79 73  de晻UTypes晻荢ys
000044E0  74 65 6D 00 00 81 53 79 73 49 6E 69 74 00 0C 83  tem晻丼ysInit晻?
000044F0  54 6C 48 65 6C 70 33 32 00 0C 4B 57 69 6E 64 6F  TlHelp32晻KWindo
00004500  77 73 00 00 B4 49 6D 61 67 65 48 6C 70 00 00      ws晻碔mageHlp晻

清新阳光帮看下-










用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)