作者：清新阳光                                              ( http://hi.baidu.com/newcenturysun)
日期：2007/08/30                                          (转载请保留此申明)

病毒样本来自：卡卡社区会员：“日不懂了”，在此表示感谢。
这是一个通过U盘传播的木马下载器。

File: Hide.exe
Size: 24501 bytes
File Version: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
MD5: F7E7A6F787B1790BC60A02D4B3F33F7E
SHA1: 0BBD74D345401D8FD1981FD8CE3D632285D32B0C
CRC32: 4470B037

生成如下文件：
%system32%\wnipsvr.exe

同时注册服务Visual       WEB
启动类型：自动
显示名称：NetworSVSA
服务描述：允许对TCP/IP上NetBios服务以及NetBT名称解析的支持。
达到开机启动的目的

在每个分区下面生成一个Hide.exe和autorun.inf
达到通过移动存储传播的目的

后台调用使用cmd调用wnipsvr.exe的down参数下载木马

读取http://xz.*.info/ad.txt的下载配置文件下载木马
http://xz.*.info/1.exe~http://xz.*.info/19.exe
到%program files%下面分别命名为pro1.exe~pro19.exe

下载的木马主要盗取以下几种网络游戏的帐号（包括但不限于）
奇迹世界  
QQ华夏  
天龙八部
大话西游II  
机战ZeroOnline公测版  
魔域  
问道  
完美世界  
风云－雄霸天下
QQ

以上木马均能关闭自动更新和Windows防火墙
并在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

下面建立相关键值达到开机启动目的

木马植入成功后，生成如下文件：
%system32%\*ini.dll
%system32%\*ins.exe
%system32%\*pri.dll
%system32%\*man.dll
%system32%\*set.exe
(括号内的*一般为随机3个字母)

%SystemRoot%/DbgHlp32.exe
%SystemRoot%/system32\DbgHlp32.dll
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys
%system32%\sers.exe（建立一个服务）

本例中对应的sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe>       []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
         <AppInit_DLLs><wggpri.dll>       []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
         <{2231A43A-1642-641A-64FD-146ADAB223B2}><C:\WINDOWS\system32\mxbman.dll>       []
         <{E1351752-5628-1547-FFAB-BADC13512AFE}><C:\WINDOWS\system32\ztaman.dll>       []
         <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll>       []
         <{6562452F-FA36-BA4F-892A-FF5FBBAC5316}><C:\WINDOWS\system32\myfpri.dll>       []
         <{74123FF1-8371-9834-9021-184518451FA7}><C:\WINDOWS\system32\qjgpri.dll>       []
         <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>       []
         <{9A65498A-7653-9801-1647-987114AB7F49}><C:\WINDOWS\system32\zxipri.dll>       []
         <{725AB2F3-234A-7469-2F43-E341713ABFA7}><C:\WINDOWS\system32\wggpri.dll>       []
         <{B12BC423-3713-224D-3F55-32B35C62B11B}><C:\WINDOWS\system32\tlvpri.dll>       []
         <{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll>       []
         <{53472AF2-174F-AC37-197C-CAC3BCA146C5}><C:\WINDOWS\system32\fyepri.dll>       []
         <{959AFD5B-159F-ACD8-954C-ACD545FA6589}><C:\WINDOWS\system32\jzipri.dll>       []
         <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet

Explorer\PLUGINS\WinSys64.Sys>       []
服务
[NetworSVSA / Visual       WEB][Stopped/Auto Start]
       <C:\WINDOWS\system32\wnipsvr.exe -Run><Microsoft Corporation>
[Telephonyl / Windowsve][Stopped/Auto Start]
       <C:\WINDOWS\system32\sers.exe><N/A>

清除办法：
1.清除病毒主程序
打开sreng （http://download.kztechs.com/files/sreng2.zip）

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
NetworSVSA / Visual       WEB

2.清除*pri.dll,*man.dll等盗号木马
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
打开%system32%文件夹（默认C:\Windows\system32）
单击菜单栏下方的搜索按钮 全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律

打开sreng 启动选项 查看

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
一栏
记住*man.dll的那些名字
比如本例中的mxbman.dll，ztaman.dll
然后还是搜索这些文件 然后把他们重命名

3.打开sreng
启动项目       注册表 删除如下项目
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe>       []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
         <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet

Explorer\PLUGINS\WinSys64.Sys>       []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Telephonyl / Windowsve

4.重启计算机

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击       菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入系统所在磁盘（默认C盘）
删除如下文件
hide.exe
autorun.inf
%system32%\*ini.dll
%system32%\*ins.exe
(括号内的*一般为随机3个字母)
%SystemRoot%/DbgHlp32.exe
%SystemRoot%/system32\DbgHlp32.dll
%SystemRoot%/system32\sers.exe
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin64.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys64.Sys
%system32%\wnipsvr.exe
以及你重命名的那些
%system32%\*pri.dll
%system32%\*man.dll

从左边的资源管理器 进入其他磁盘
删除hide.exe
autorun.inf

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是

C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

%SystemRoot%/        WINDODWS所在目录

%ProgramFiles%\       系统程序默认安装目录