病毒样本来至剑盟，好像是感染性的。

　　测试结束时候忘记收几个比较重要的``所以下面分析可能不一定全（也不一定准确）：

　　Aditional Information
　　File size: 13327 bytes
　　MD5: f6cac56e082ed27d232b87911f6d0442
　　SHA1: 5183cf2b9ce262265294b7778e0a2a59cd6ea2b1
　　CRC32     : FDA83A2F
　　RIPEMD160: 755B3FA285C74106621CD1094C5CF343B4845A16
　　SHA160    : 5183CF2B9CE262265294B7778E0A2A59CD6EA2B1
　　packers: NSPack, PE_Patch
　　Langueges:Microsoft Visual C++ 6.0

　　运行，释放：

　　%Systemroot%\system32\2.exe 13327 字节

　　%Systemroot%\system32\internt.exe 13327 字节

　　%Systemroot%\system32\progmon.exe 13327 字节

　　%Systemroot%\system32\IME\svchost.exe 13327 字节

　　其实都是同一个（MD5不变）。

　　其中internt.exe和progmon.exe 写入注册表Run启动项，达到开机自启````

　　%Systemroot%\system32\IME\svchost.exe 是主体，常驻进程``做监视工作``

　　每隔1毫秒以访问的方法试探自身同党存在和修改的注册表项，如不再则生成```

　　在每个分区下（C——F）下生成Autorun.inf和Setup.exe``

　　每秒刷新检测移动介质的介入```并尝试在移动介质目录下生成Autorun.inf和Setup.exe（U盘传播）

　　内容为：

　　[AutoRun]

　　open=setup.exe

　　shellexecute=setup.exe

　　shell\Auto\command=setup.exe

　　释放服务：

　　[Alerter COM+ / Alerter COM+][Running/Auto Start]
   <C:\winnt\system32\IME\svchost.exe><N/A>

　　指向的是主体病毒，实现服务方式启动``````

　　修改注册表：

　　Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的CheckedValue值``

　　改为：0（破坏显示隐藏文件）``

　　随后驻进程的svchost.exe（冒牌货）访问210.245.162.**，下载远程执行工具PsExec，命名为1.exe

　　路径：%Systemroot%\system32\1.exe   131072 字节

　　并以用户名为：

　　"administrator"
　　"admin"
　　"Guest"
　　"home"

　　密码为：

　　"NULL"
　　"123456"
　　"login"
　　"love"
　　""(空口令``)

　　随机组合方式访问192.168.0.*，试图穷举破解口令````

　　如成功破解，则拷贝%Systemroot%\system32\2.exe 至共享目录```（局域传播）

　　svchost.exe 随后遍历进程，尝试关闭下列关键字：

　　Windows 任务管理器

　　兔子

　　任务

　　优化

　　注册表

　　Process

　　进程

　　木马

　　天网

　　防火墙

　　看似完美的病毒``作者似乎还不放心，最后使用捆绑文件方式结束了这次行动：

　　首先跳过系统盘、IME、Windows Media Player、OE、IE、Documents and Settings、系统还原、回收站、Setup.exe等目录然后从D盘开始感染``````

　　不过测试时候并未实现`````可能不一定准确````

　　做完上面的全部工作后，Svchost还不闲着```连接HXXp://union.itlearner.com/ip/getip.asp以计算IP的方式统计感染人数。（未验证）

　　解决方法：

　　到down.45its.com下载

　　SREng.rar，IceSword120_cn.zip（备用），PowerRmv.com以及参考《无法正常显示隐藏文件的解决》www.45its.com/Article/pc120/Fault/200612/14165.htm

　　直接放到桌面，关闭不需要的进程，断开网络，并清空所有临时文件夹```

　　1、打开PowrnRmv，选上“抑制对象再次生成”，填入：（一次一个，找不到的忽略，注意路径后面不要有空格）

C:\autorun.inf

C:\setup.exe

D:\autorun.inf

D:\setup.exe

E:\autorun.inf

E:\setup.exe

F:\autorun.inf

F:\setup.exe

*:\autorun.inf

*:\setup.exe

(*为移动介质盘）

C:\Windows\system32\2.exe

C:\Windows\system32\internt.exe

C:\Windows\system32\progmon.exe

C:\Windows\system32\IME\svchost.exe

C:\Windows\system32\1.exe

C:\WIindows\system32\hs3midia.dll

C:\WIindows\system32\drivers\ws2ifsl.sys

（如果是2K、ME系统的话，C:\Windows\自行改为C:\Winnt)

　　注：上面的东西也可以用冰刃删除```如果可以的话，最好先用冰刃把假冒的Svchost先结束掉```

　　2、打开SREng,删除：

　　注册表（详细步骤：打开SREng－启动项目－注册表）

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<Internt><C:\winnt\system32\internt.exe>
<Program file><C:\winnt\system32\progmon.exe>

　　服务（详细步骤：打开SREng－启动项目－win32服务应用程序）

[Alerter COM+ / Alerter COM+][Running/Auto Start]
   <C:\winnt\system32\IME\svchost.exe><N/A>

　　还有个是指向C:\WIindows\system32\hs3midia.dll的服务，我跟丢了，如果有发现的话删除吧``

　　还有驱动项```汗``也跟丢了，后来从HIPS日志来抓出来的，叫ws2ifsl.sys``

　　SREng里有发现这项的也删除~~

　　```````````然后升级杀软，全盘扫``如果有文件被感染的，顺便修复。。。。。。。。。。