病毒名称：Trojan-Downloader.Win32.small.ext,Trojan.BAT.KillAV.ec
病毒大小：83968 bytes
加壳方式：NsPack
样本MD5：5fb6ee2a1044c0e3c601fde18cf8180f
样本SHA1: c3597026c8003e49383794bcf43bb78ee04ac996

行为分析：

病毒运行后，首先创建C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP文件夹
复制自身到创建的文件夹并运行，调用命令行：
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32,C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP"
释放：
C:\Documents and Settings\当前用户名\Local Settings\Temp\b-PEavp.exe
注：实质上就是把BAT文件变成EXE文件，内容：
Set date=%date%  
date 2004-10-09
@Echo Off & setloc l enableextensions
Ec o Ws cript.Sleep 1000 >
Set /a i = 5
:Timeout
If %i% == 0 Goto Next
setlo al
Set /a i = %i% - 1
cs cript //nologo fyzero.vbs  
Goto Timeout
Goto End
:Next  
dcte %date
把时间改成2004-10-09对付卡巴
创建批处理删除自身

释放C:\Documents and Settings\当前用户名\Local Settings\Temp\b-mie.exe并运行，复制自身到：
C:\WINDOWS\winllogon.exe

创建服务：
[HKLM\System\CurrentControlSet\Services\IE_WinServerName]
显示名：IE_WinServerName
描述：Windows CreaterIE
可执行文件的路径：C:\WINDOWS\winllogon.exe

创建批处理C:\WINDOWS\Deleteme.bat删除自身。
Deleteme.bat内容：
:try
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\b-mie.exe"
if exist "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\b-mie.exe" goto try
del %0

调用IE，连接网络下载其它病毒：
先连接hxxp://www.ysjjj.com/yz/2007R2.txt读取里面的内容，根据txt文件里的地址下载新的病毒。
2007R2.txt内容：
100|http://www.cntvz.com/Users/Editer/image/88.exe|1|www.yyybt.com/g/index.html|1|300|www.mmaab.com/ad/index.html|1|300|www.y

yybt.com/soft/2541.htm|1|300|www.en3721.com/shu/soft/8085.htm|0|300|www.***.com|0|300|www.***.com|0|300|www.***.com|0|300|www

.***.com|0|300|www.***.com|0|300|www.***.com|0|300|www.***.com
还会判断是否为Tencent_Traveler的主窗口，记录在CompareText.txt（未证实）

下载88.exe，命名为Dz并运行，是盗号的，行为如下：
复制自身到：
C:\WINDOWS\Dz.exe
C:\Program Files\Internet Explorer\InfoMs.sys
释放：
C:\Program Files\Internet Explorer\InfoMs.tdm（监控消息队列的消息）
C:\Program Files\Internet Explorer\InfoMs.tp3

创建ShellExecuteHooks：

[HKEY_CLASSES_ROOT\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32]
@="C:\Program Files\Internet Explorer\InfoMs.tdm"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{DD7D4640-4464-48C0-82FD-21338366D2D2}"=" "

创建批处理_Ms.bat删除自身

手动清除方法：
1，断网
2，删除文件(如遇提示无法删除文件，到down.45it.com下载费尔木马强制删除器工具进行强制删除)：
C:\WINDOWS\winllogon.exe
C:\WINDOWS\Deleteme.bat
删除文件夹(如遇提示无法删除文件，到down.45it.com下载费尔木马强制删除器工具进行强制删除)：
C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP
3，删除注册表（开始菜单－运行－输入“regedit”）：
[HKLM\System\CurrentControlSet\Services\IE_WinServerName]

[HKEY_CLASSES_ROOT\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32]
@="C:\Program Files\Internet Explorer\InfoMs.tdm"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{DD7D4640-4464-48C0-82FD-21338366D2D2}"=
4，重启
5，删除文件(如遇提示无法删除文件，到down.45it.com下载费尔木马强制删除器工具进行强制删除)：C:\WINDOWS\Dz.exe
C:\Program Files\Internet Explorer\InfoMs.sys
C:\Program Files\Internet Explorer\InfoMs.tdm
C:\Program Files\Internet Explorer\InfoMs.tp3
6，清空IE临时文件夹和系统临时文件夹
7，修改回系统正常时间

附病毒内留下的信息：
"heihei"
"Huai_Huai"