U盘病毒sbl.exe的分析手动解决

　　病毒生成如下文件：
　　C:\WINDOWS\system32\1.inf
　　C:\WINDOWS\system32\chostbl.exe
　　C:\WINDOWS\system32\lovesbl.dll
　　在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏

　　注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的.

　　启动类型：自动
　　显示名称：A GooD DownLoad CAHW

　　调用TerminateProcess函数关闭如下进程
　　360safe.exe
　　360tray.exe
　　runiep.exe
　　avp.exe

　　调用GetWindowsTextA函数获得当前窗口标题，并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口

　　卡卡
　　江民
　　金山
　　任务管理器
　　木马清道夫
　　木马克星
　　超级巡警
　　NOD32核心
　　安全
　　安全卫士
　　木马杀客
　　NOD32
　　内核
　　OD
　　微点

　　调用FindWindowA函数查找如下窗口并试图调用PostMessageA函数向其发送WM_CLOSE指令关闭窗口
　　AVP.AlertDialog
　　AVP.Product_Notification
　　AVP.Product_Noti

　　调用cmd.exe 执行net stop sharedaccess命令关闭Windows自带的防火墙服务

　　C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程
　　利用svchost.exe执行下载木马操作
　　下载http://218.61.18.*/hao.exe
　　http://218.61.18.*/wei.exe
　　http://218.61.18.*/haowei.exe
　　（ip地址为辽宁大连网通）
　　到C:\Documents and Settings下面并分别命名为servciesa.exe~servciesc.exe，下载间隔200ms
　　

　　测试中http://218.61.18.*/haowei.exe（servciesc.exe）链接已失效

　　servciesa.exe为一感染下载者
　　下载http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe，但下载链接已失效

　　感染除以下文件夹下的exe文件
　　WINDOWS
　　WINNT
　　RECYCLE
　　System Volume Information
　　Internet Explorer
　　Outlook Express
　　NetMeeting
　　Common Files
　　Messenger
　　Windows Media Player
　　WinRAR
　　MSOCache
　　Documents and Settings
　　被感染文件被加入593字节的内容图表不变感染方式还得请高手来指教...

　　servciesb.exe
　　注册服务WindowsRemote
　　启动类型：自动
　　显示名称：Windows Accounts Driver
　　也是一个木马下载者但下载链接失效

　　病毒全部动作完毕以后，sreng日志如下：
　　服务
[A GooD DownLoad    CAHW    / AnHao_VIP_CAHW][Running/Auto Start]

[Windows Accounts Driver / WindowsRemote][Stopped/Auto Start]

==================================
Autorun.inf
[C:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
[D:\]
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe
shell=open
...
　　手动解决方法：

　　下载sreng （建议到down.45it.com下载）打开解压后运行srengps.exe

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
A GooD DownLoad CAHW / AnHao_VIP_CAHW
Windows Accounts Driver / WindowsRemote

　　重启计算机

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示

　　确定更改时，单击“是” 然后确定
　　点击菜单栏下方的文件夹按钮（搜索右边的按钮）

在左边的资源管理器中单击C盘（千万不要双击打开）

　　删除如下文件
　　C:\WINDOWS\system32\chostbl.exe
　　C:\sbl.exe
　　C:\autorun.inf
　　C:\WINDOWS\system32\servciesa.exe~servciesc.exe（如果有的话）

　　在左边的资源管理器中单击其他盘（千万不要双击打开）
　　删除sbl.exe autorun.inf