二、病毒分析 

1.生成文件 

%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dat 
%programfiles%\Common Files\Microsoft Shared\MSInfo\{随机8位字母+数字名字}.dll 
%windir%\{随机8位字母+数字名字}.hlp 
%windir%\Help\{随机8位字母+数字名字}.chm 
也有可能生成如下文件 
%sys32dir%\{随机字母}.exe 
替换%sys32dir%\verclsid.exe文件 

2.生成以下注册表项来达到使病毒随系统启动而启动的目的 

HKEY_CLASSES_ROOT\CLSID\"随机CLSID"\\InprocServer32 "病毒文件全路径" 
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径" 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ 
ShellExecuteHooks "生成的随机CLSID" "" 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
"随机字符串" "病毒文件全路径" 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start 
dword:00000004I

3.映像劫持 

通过在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ 
Image File Execution Options下添加注册表项来进行文件映像劫持，可阻止大量安全软件及系统管理软件运行，并执行病毒体。 
被劫持的软件包括： 
360rpt.exe; 
360Safe.exe; 
360tray.exe; 
adam.exe; 
AgentSvr.exe; 
AppSvc32.exe; 
autoruns.exe; 
avgrssvc.exe; 
AvMonitor.exe; 
avp.com; 
avp.exe; 
CCenter.exe; 
ccSvcHst.exe; 
FileDsty.exe; 
FTCleanerShell.exe; 
HijackThis.exe; 
IceSword.exe; 
iparmo.exe; 
Iparmor.exe; 
isPwdSvc.exe; 
kabaload.exe; 
KaScrScn.SCR; 
KASMain.exe; 
KASTask.exe; 
KAV32.exe; 
KAVDX.exe; 
KAVPFW.exe; 
KAVSetup.exe; 
KAVStart.exe; 
KISLnchr.exe; 
KMailMon.exe; 
KMFilter.exe; 
KPFW32.exe; 
KPFW32X.exe; 
KPFWSvc.exe; 
KRegEx.exe; 
KRepair.COM; 
KsLoader.exe; 
KVCenter.kxp; 
KvDetect.exe; 
KvfwMcl.exe; 
KVMonXP.kxp; 
KVMonXP_1.kxp; 
kvol.exe; 
kvolself.exe; 
KvReport.kxp; 
KVScan.kxp; 
KVSrvXP.exe; 
………… 

4.修改以下注册表，导致无法显示隐藏文件 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ 
Advanced Hidden dword:00000002 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ 
Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000000I

5、修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 
SharedAccess Start dword:00000004 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 
wuauserv Start dword:00000004 

6.删除以下注册表项，使用户无法进入安全模式 
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ 
{4D36E967-E325-11CE-BFC1-08002BE10318} 
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\ 
{4D36E967-E325-11CE-BFC1-08002BE10318} 

7.连接网络下载病毒 

hxxp://www.webxxx.com/xxx.exe 

8.关闭杀毒软件实时监控窗口，如瑞星、卡巴，通过自动点击"跳过"按钮来逃过查杀 

9.尝试关闭包含以下关键字窗口 

Anti 
AgentSvr 
CCenter 
Rsaupd 
SmartUp 
FileDsty 
RegClean 
360tray 
………… 
ikaka 
duba 
kingsoft 
木马 
社区 
aswBoot 
………… 

10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。 

11.隐藏病毒进程，但是可以通过结束桌面进程显示出来。 

12.在硬盘分区生成文件：autorun.inf 和 随机字母+数字组成的病毒复制体，并修改“NoDriveTypeAutoRun”使病毒可以随可移动存储介质传播。I

三、防范及专杀工具 

用户在正常运行的电脑上尽量不要使用自动播放功能，以避免通过插入U盘、移动硬盘等造成病毒感染。同时，应及时更新杀毒软件，开启在线监控功能和防火墙。 

专杀现在海了去了,大家可以搜,就像本帖一样,来自百度.........

欢迎补充�

�

马上就要连起�