Death.exe死亡之吻变种分析

病毒名称：Trojan-Downloader.Win32.Agent.bhd
病毒类型：木马下载者
病毒MD5：2ccd81d7d358778b11de9303e0097

硬盘被格式化了，回收站的文件被清空了？不论是人为（自己不小心或骇客的恶作剧！）还是病毒所至，都是有办法恢复这些丢失的文件的！下面介绍一款数据恢复软件FinalData（文章最后给出下载地址），跟着我的介绍，你将轻易掌握数据恢复的一种途径！

从同学的本上提取出来N多病毒，而我估计这些病毒都与威金
Worm.Win32.Viking.kl与
Worm.Win32.Viking.ix这两变种有关！我在C:\Program Files\Internet Explorer这个目录下发现了六个可疑文件：8Sy.exe、9Sy.exe、SMSS.EXE、WINLOGON.EXE、CRESS.EXE与SERVICES.EXE。除了SERVICES.EXE其它都是Trojan-PSW.Win32.OnLineGames这木马的变种！

每个变种我都测试过了，下面我以9Sy.exe（即Trojan-PSW.Win32.OnLineGames.es）为例进行分析，其他的类似。

同学说他的笔记本电脑中毒了，很严重，我去将其解决，保留了样本，又顺便测试了一下。清除这只病毒除了windows自带的工具没使用其他任何工具，分析如下：

一、中毒症状：
老是弹出“Windows文件保护”的对话框，任务管理器与cmd被病毒替换，“文件夹选项”消失，盘符双击在新窗口打开，卡巴报毒Worm.Win32.VB.fw，但就是杀不掉。

二、病毒行为：
1、病毒运行后衍生的病毒文件：
%system32%\systeminit.exe
%system32%\winsystem.exe
%system32%\wininit.ex

关键字：internat.exe,setup.exe,autorun.inf,exe文件感染

一、病毒描述：

1、internat.exe与setup.exe是同一个文件，大小30,001 字节（注意！正常的internat.exe位于C:\windows\system32\目录下，大小21,264 字节）。

2、病毒internat.exe位于C:\windows\system\目录下，setup.exe与autorun.inf位于每个磁盘根目录下，皆为隐藏文件。典型的auto型病毒！双击盘符