文件名称：stwinsdat.exe

文件大小：188416 bytes

AV命名：Worm.Win32.Skipi(卡吧)

加壳方式：未

编写语言：VC++

病毒类型：IM类蠕虫

文件MD5：F86F7C9642474BD93FB22185EC27FFEE

传播方式：skype

行为：

1、释放病毒副本：

%Systemroot%\system32\odcwinst.exe   188416 字节

%Systemroot%\system32\servftc.exe   188416 字节

%Systemroot%\system32\stwinsdat.exe   188416 字节

%Systemroot%\system32\windb32.exe   188416 字节

并0。2秒检测上述文件是否存在，若不在，则重新拷贝。

注意：文件名不是固定的！

2、修改多处注册表，开机自启：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Services Start2

REG_SZ, "odcwinst.exe "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Logon Settings2

REG_SZ, "odcwinst.exe "

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Windows Sysdat

REG_SZ, "explorer.exe odcwinst.exe "

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Policies Options2 = REG_SZ, "o"

以至于SREng、Autoruns等日志无法发现其启动项。。

3、非法修改HOSTS，实现DNS劫持，受影响的厂家有：

kaspersky

drweb

f-secure

norman

mcafee

CA

symantec

microsoft

virustotal（汗，这个也不放过）

nod32

avast

eset

当试图升级上述公司产品时，连接请求会被重定向。

包含了1160行记录。HOSTS多达30000K+。

列一部分：

78.92.101.95 www.networkassociates.com
142.240.3.38 ca.com
199.23.177.181 www.ca.com
58.213.158.65 mast.mcafee.com
44.47.164.30 www.mast.mcafee.com
137.154.203.142 my-etrust.com
205.180.15.215 www.my-etrust.com
36.50.99.152 download.mcafee.com
208.25.245.92 www.download.mcafee.com

28.180.212.147 ftp.downloads1.kaspersky-labs.com
207.80.124.253 www.ftp.downloads1.kaspersky-labs.com
112.82.254.144 ftp.downloads2.kaspersky-labs.com
35.201.48.247 www.ftp.downloads2.kaspersky-labs.com
224.125.255.210 ftp.downloads3.kaspersky-labs.com
210.38.180.78 www.ftp.downloads3.kaspersky-labs.com
253.219.118.248 ftp.downloads4.kaspersky-labs.com
36.205.16.211 www.ftp.downloads4.kaspersky-labs.com

109.75.145.104 download26.avast.com
146.192.98.72 sl26.avast.com
232.80.199.138 rs26.avast.com
2.228.247.183 download27.avast.com
123.185.184.37 sl27.avast.com
220.17.36.19 rs27.avast.com
191.41.173.245 download28.avast.com
53.106.95.13 sl28.avast.com
102.227.101.59 rs28.avast.com
119.247.207.22 download29.avast.com
177.83.146.59 sl29.avast.com
223.36.208.230 rs29.avast.com
247.134.90.191 download30.avast.com

4、在Explorer.exe创建远程线程，当主体被结束时候，由Explorer重新加载。

每6秒检测一次主体是否存在，若不在，则激活。

5、每150毫秒检测一次，获取尝试激活的PID，并关闭一部分安全工具。

具体判断方式还未知。这导致安全工具即使是重命名，仍无法开启。

（有谁知道的请告诉我，Q526170722，谢谢）

6、每隔60毫秒检测skype窗口，并获取文本输入函数，尝试发送扩展名为scr文件与一些语言

（这点和MSN蠕虫相似）

不过偶没有安装skype，所以没有实现，可能不准确。

7、当Skype用户接受并执行该文件时候，它会尝试用图片浏览工具激活系统自带的Soap Bubbles.bmp。

但你看到这张图片的时候，事实上病毒已经激发了。

（这点创意很不错，避免用户怀疑）

8、枚举进程模块，当发现mscoree.dll时候，则退出病毒线程？

（呵呵，可能也不准确）

解决方法：

由于这个病毒使用随机命名方式，所以可能会比较麻烦。。

等等，对了，你发现了什么，呵呵，它们的文件大小都是一样的！！！

哈哈````

1、到down.45it.com下载sreng2.zip和PowerRmv.com

然后按F3打开系统搜索，填入例如：

例如酱紫拉，我的是2K(如:2000)系统，可能会有点不一样啊。

PS：一共有4个病毒副本，3个是隐藏和系统属性，搜索时记得也选上搜索隐藏文件啊，或者先显示它们。

另外如果输入的大小188416无法查找到的话，那么改为188000K试试！

2、找到后，记住他们的文件名，打开Powerrmv.

选上抑制对象再次生成，填入：

C:\Windows\System32\你查找到的文件.exe

我的是：

C:\Windows\system32\odcwinst.exe

C:\Windows\system32\servftc.exe

一共有3个，不要漏了。

3、打开SREng，删除：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
     <Services Start2><odcwinst.exe>   []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
     <Policies Options2><o>   [N/A]

并用SREng重置HOSTS。

然后   开始-运行regedit，删除第2点分析的注册表项，不要删错了！