文件名称：MicrSoft.exe

文件大小：22714 bytes

AV命名：Worm.Win32.AvKiller.ca (瑞星)

加壳方式：NsPack

文件MD5：b0f8c31ee946d6b761e78d4548416488

行为分析：

1、运行病毒体，首先释放一个批处理，修改系统日期，修改为：date 2005-10-31

使一些依赖时间的杀软、工具会失效。

2、释放病毒副本：

%Systemroot%system32\MicrSoft.exe 22714 字节

3、修改注册表，开机启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

注册表值MicrSoft 指向：C:\winnt\system32\MicrSoft.exe

4、IFEPO重定向劫持，以下进程将被劫持：

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe

5、尝试关闭一第4点的安全进程，每3秒检测一次。

6、病毒利用内存映射技术，启动%System32%\Svchost.exe空壳进程，并把自身代码注入其中。

所以进程里根本看不出任何异常，而且，这个文件也不可以删除。

7、每隔几毫秒检测自身的注册表启动项、IFEO、自身文件存在，若不在，则重新生成（注册）。

8、尝试U盘感染和破坏“显示隐藏文件功能”，不过测试时并没有实现。

9、破坏安全模式，防止自身在安全模式被移除，删除注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\
REG_SZ, "DiskDrive "

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\
REG_SZ, "DiskDrive "

10、连接61.183.11.2**（湖北省武汉市 电信IDC机房），下载：

http://www.onlinek.net/ad/log/135/135.txt木马列表

不过网址已失效。。。（被和谐了``哈哈）

解决方法：

方法一：

U盘专杀：

http://www.kingzoo.com/tools/孤独更可靠/usbcleaner.zip

可以清除。

方法二（完全手工）：

首先要记住，在执行下面操作之后，千万不要点击进入所有磁盘！！（C—移动盘）

1、开始-运行-gpedit.msc。管理模板—系统—点击右边的“不要运行指定的windows应用程序”，点“己启用”，点显示，把MicrSoft.exe添加进去，确定。

2、重启电脑，可能会提示你一些什么程序无法运行，被管理员限制之类的。8用理会``

3、开始-运行-regedit。

展开到：

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Image File Execution Options\

你会看到上面分析到的第4点，把提到的那些项删除掉。

OK，然后收起，转到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除“MicrSoft”这个键。 它指向的是：C:\winnt\system32\MicrSoft.exe。

4、开始-运行-CMD，输入下面内容：

Del C:\autorun.inf /f/s/q/a

Del D:\autorun.inf /f/s/q/a

Del E:\autorun.inf /f/s/q/a

Del F:\autorun.inf /f/s/q/a

Del C:\MicrSoft.exe /f/s/q/a

Del D:\MicrSoft.exe /f/s/q/a

Del E:\MicrSoft.exe /f/s/q/a

Del F:\MicrSoft.exe /f/s/q/a

如果有移动盘的话，自己再加上去！！

5、OK，清除完毕，重启电脑，一切正常。

工具篇：

1、下载：到down.45it.com下载360FileKill.rar，XDelBox1.5.rar，sreng2.5.zip

2、下载后直接放桌面，断开网络，关闭不需要的进程。

3、用Xdelbox或360FileKill，选择阻止杀灭对象再生，导入这个路径：

C:\windows\system32\MicrSoft.exe

如果是2K或ME系统的话，则是：C:\winnt\system32\MicrSoft.exe

4、然后重启电脑。

5、重启后，不要运行其他程序，先打开修复IFEO之XP系统专用。修复IFEO劫持。

6、打开SREng，删除它的启动项：

“MicrSoft”这个键。 它指向的是：C:\winnt\system32\MicrSoft.exe。

7、修至于安全模式，请下载这个修复：

到down.45it.com下载360安全卫士，使用其安全模式修复板块进行修复，当然可直接使用SREng安全模式修复工具

其实SREng里也有集成这个功能呵``

这个看似几乎无懈可击的病毒，实际上存在很多低级的问题

只要仔细观察，就可以发现 ^_^

哈哈，昨晚刚运行，3分钟后就在这里了。。：

]