文件名称：syscopy.exe

文件大小：426783 bytes

AV命名：Dropper.Win32.Agent.nzi(瑞星)

加壳方式：未

编写语言：VC

病毒类型：捆绑型

文件MD5：45eb42ff98e5ea60f83f259582506430

文件SHA1：e3e21cf73278a2a7bba6eaa9c090e6d2a9941d34

传播方式：U盘等移动介质、网络。

行为分析：

1、释放病毒文件：

C:\Windows\system32\CAManager.exe    53248 字节
C:\Windows\system32\dcomdiag.exe    192512 字节
C:\Windows\system32\eventviewer.exe    94208 字节
C:\Windows\system32\explore.exe    113418 字节
C:\Windows\system32\LogicStorageMon.exe    57344 字节
C:\Windows\system32\msconfig32.exe    81920 字节
C:\Windows\system32\ReDevMonitor.exe    53248 字节
C:\Windows\system32\syscopy.exe    426783 字节

2、遍历分区，查找可用磁盘，在其目录下生成：Autorun.inf和msconfig32.exe

如果双击磁盘，则激活病毒！

3、连接74.220.202.29（hxxp://www.siekia.com/）获得下载列表，下载木马。

例如：

CAManager.exe
LogicStorageMon.exe
ReDevMonitor.exe
dcomdiag.exe
eventviewer.exe
explore.exe
syslog.exe
libmcrypt.dll
hkcmdi.exe

不过未下全。

4、对E盘文件*.exe进行捆绑感染（其他盘未发现），被捆绑的文件增加238000多字节。

在感染文件尾部记录了一些简单的信息，避免反复感染。

5、病毒使用进程守护技术，相互依赖，每隔一段时间激活对方。

乱乱的``好像4进程守护吧。。（8记得了``）

6、进程守护中的其中3个连接74.220.202.29监听3813、3858、3903端口。

如本地病毒文件被删除，则重新下载。

7、CAManager.exe、LogicStorageMon.exe、ReDevMonitor.exe注册系统服务，开机自启。

解决方法：

到down.45it.com下载sreng2.zip和PowerRmv

1、关闭不需要进程，断开网络！

2、打开PowerRmv，勾选“抑制对方再次生成”。填入下面路径（一次填一个）：

C:\Windows\system32\syscopy.exe
C:\Windows\system32\dcomdiag.exe
C:\Windows\system32\explore.exe
C:\Windows\system32\CAManager.exe
C:\Windows\system32\eventviewer.exe
C:\Windows\system32\msconfig32.exe
C:\Windows\system32\LogicStorageMon.exe
C:\Windows\system32\ReDevMonitor

C:\msconfig32.exe
C:\Autorun.inf
D:\msconfig32.exe
D:\Autorun.inf
E:\msconfig32.exe
E:\Autorun.inf
F:\msconfig32.exe
F:\Autorun.inf

(这些不要漏了！）

PS：如果是2000或ME系统的话，把C:\Windows\换成C:\Winnt\

3、打开SREng，删除：

服务（详细步骤：打开SREng－启动项目－win32服务应用程序）

[CA Certification Manager / CAManager][Running/Auto Start]
   <C:\winnt\system32\CAManager.exe><N/A>

[Logical Storage Monitor / LogicStorageMon][Running/Auto Start]
   <C:\winnt\system32\LogicStorageMon.exe><N/A>

[Removable Device Monitor / ReDevMonitor][Running/Auto Start]
   <C:\winnt\system32\ReDevMonitor.exe><N/A>

浏览器加载项：（详细步骤：打开SREng－系统修复－浏览器加载项）

[CAdLogic Object]
   {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, >

（流氓软件带来的）

4、建议下载360安全卫士(可到down.45it.com下载)，清除下载的流氓软件CPUSH。

这个比较恶心，写入多项注册表，手工清除比较头疼。

5、升级杀软最高版本，全盘扫（杀软应该可以修复被捆绑文件）