今天接到群里用户求助说 瑞星防火墙打不开 注册表打不开 难道是AV又出新变种了？

　　拿到他的日志看了半天 只找到一个类似鸽子的服务
　　[Logical System Managet / llsservet][Stopped/Auto Start]    <C:\Program Files\Common Files\svchost.cnc><N/A>

　　还有插入其他进程的一个tmp文件

　　[C:\DOCUME~1\xxxx\LOCALS~1\Temp\rsv1.tmp]    [Beijing Rising Tech. Co., Ltd., 1, 2, 0, 5]
　　不会那个服务搞的吧
　　要来了样本 赶紧测试了一下

　　发现这个病毒实在是高深 有些东西我也不太明白，所以写出来给大家看看。

　　病毒分析报告：

　　虽然扩展名是cnc但实际上就是个exe文件

　　生成文件：
　　C:\Program Files\Common Files\svchost.cnc

　　注册服务llsservet
　　服务相关键值：

HKLM\SYSTEM\ControlSet001\Services\llsservet\Enum\0: "Root\LEGACY_LLSSERVET\0000" HKLM\SYSTEM\ControlSet001\Services\llsservet\Enum\Count: 0x00000001 HKLM\SYSTEM\ControlSet001\Services\llsservet\Enum\NextInstance: 0x00000001 HKLM\SYSTEM\ControlSet001\Services\llsservet\Type: 0x00000110 HKLM\SYSTEM\ControlSet001\Services\llsservet\Start: 0x00000002 HKLM\SYSTEM\ControlSet001\Services\llsservet\ErrorControl: 0x00000000 HKLM\SYSTEM\ControlSet001\Services\llsservet\ImagePath: "C:\Program Files\Common Files\svchost.cnc" HKLM\SYSTEM\ControlSet001\Services\llsservet\DisplayName: "Logical System Managet" HKLM\SYSTEM\ControlSet001\Services\llsservet\ObjectName: "LocalSystem" HKLM\SYSTEM\ControlSet001\Services\llsservet\Description: "提供对系统磁盘检测及数据备份管理的支持。如果此服务被禁用，任何依赖它的服务将无法启动."

　　服务启动后：
　　不断修改svchost.exe的虚拟内存 将自身完全注入到一个svchost.exe的内存中（原理不太懂，后面说明是如何看出的这个）
　　使得一个svchost.exe的进程完全变成病毒的傀儡

　　之后那个傀儡svchost.exe尝试关闭如下窗口
KPFW32.EXE
yassistse.exe
rfwcfg.exe
rfwmain.exe
rfwsrv.exe
Ras.exe
nod32kui.exe
nod32.exe
RavMon.exe
RavTask.exe
RavMonD.exe
RavStub.exe
Ccenter.exe
regedit.exe
360tray.exe
icesword.exe
mctray.exe

　　修改C:\windows为隐藏属性

　　下面就说说为什么 我觉得病毒完全将自身注入到svchost.exe的内存中的
　　1.在中毒机器中装了个process explorer以后发现有个svchost.exe是由explorer.exe启动的 而一般svchost.exe都应该是由services.exe启动的
　　2.用winhex查看中毒机器的内存 发现其中一个svchost.exe的所占的内存明显比其他的大 而这个svchost.exe的PID和刚才那个由explorer.exe启动的svchost.exe是一样的
　　3.用冰刃等工具 结束这个svchost.exe后 防火墙可以开启 注册表也可以打开

　　不过以上都是我的猜测 具体原理不太懂 希望有明白原理的网友帮忙解答一下

　　虽然说得这么邪乎 但似乎他还是靠服务启动的
　　所以我们把那个服务禁用了 他重启也就不会嚣张了
　　解决方法如下：

　　打开sreng(可到down.45its.com 下载)
　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
　　选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
　　Logical System Managet / llsservet

　　重启计算机
　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
　　删除C:\Program Files\Common Files\svchost.cnc  (如遇提示无法删除文件，到down.45its.com下载费尔木马强制删除器工具进行强制删除)