病毒症状：

    该样本是使用“VC++”编写的“下载者”，长度为“22,528”字节，使用“exe”扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是下载病毒木马。当用户计算机感染此木马病毒后， 用户中毒后会出系统运行缓慢无故报错，网络访问异常，并且发现未知进程等现象。

　　    感染对象：

    Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

    传播途径：

    文件捆绑、网页挂马、下载器下载

    病毒分析：

    1.病毒建立互斥体变量名：“ACDTEST……”，主要防止程序多次运行。

    2.病毒获得系统目录路径，将“C:WINDOWSSystem32userinit.exe”与病毒自身比较，是否注入其中进程，如果注入成功，通过外部命令执行“C:WINDOWSexplorer.exe” 打开应用程序。

    3.如果注入不成功，将病毒文件提升到“SeDebugPrivilege”的访问权限，并建立及修改注册表的信息：

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

    名称：Kav

    数据：C:WINDOWSSystem32kav.exe

    以到达自启动的目的。

    4.病毒建立线程，从指定网站下载hosts文件替换掉本地用户hosts文件并且将hosts文件修改为系统隐藏属性，屏蔽以下安全软件，

     并且将操作系统版本，网卡地址，主机名等发到黑客指定的网站。

    5.病毒获得临时文件路径，在该目录下创建%Temp%ope1.tmp, 从指定网址下载大量病毒木马到临时文件运行，然后自删除。

    病毒创建文件：

    %SystemRoot%system32driversetchosts

    %Temp%ope1.tmp

[page]    病毒创建注册表：

   HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

    名称：Kav

    数据：C:WINDOWSSystem32kav.exe

    病毒访问网络：

    http://360cnfuck.*****.info:9550/10825host/1002.txt

    http://www.*****.info:3352/count.aspx

    http://360cnfuck.*****.info:9550/id/ud.txt

    手动解决办法：

    手动删除文件

    1.删除 %Temp%ope1.tmp

    2.删除 病毒源程序

    3.导入正确的hosts文件

    手动删除注册表

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

    名称：Kav

    数据：C:WINDOWSSystem32kav.exe

    变量声明：

    %SystemDriver%　　　　　　　系统所在分区，通常为“C:”

    %SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:Windows”

    %Documents and Settings%　　用户文档目录，通常为“C:Documents and Settings”

    %Temp%　　　　　　　　　　　临时文件夹，通常为“C:Documents and Settings当前用户名称Local SettingsTemp”

    %ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:ProgramFiles”

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。