看到草莽书生的VirusKillBox被七位字母命名的病毒IFEO劫持了。他针对此类病毒给出了的修复指令很丰富了，不过却遭到新变种的反击……不过这样的反击不值一提，改个软件的名字即可绕过。说这个病毒是小病毒一点也没错。我决定向草莽书生、农夫、FlowerCode等靠近，重新拿起C、VB、汇编……用VBS脚本写专杀的源码既然已经公开，就不打算今后采取加密的措施了。

今天在风云墙里拿到病毒样本cmxpbpl.exe，这也是七位字母命名的病毒，和之前分析的那些变种行为都一样。这个变种也具备对付autorun.inf免疫文件夹的功能。估计是网络原因吧，我没看到其下载者行为。简单分析如下：

病毒文件：cmxpbpl.exe
病毒MD5：9a254b760c6f49a3e19500efae683983
病毒类型：Aurorun型病毒，通过移动盘传播，具下载者性质

一、病毒运行后生成如下文件：
%systemroot%\system32\egclmvo.exe
%systemroot%\system32\cyqttve.exe
%systemroot%\system32\meex.com
X:\cmxpbpl.exe
X:\autorun.inf

注：如果你的操作系统在C盘，那么%systemroot%表示C:\windows，X表示每一个盘符（除了移动盘）。egclmvo.exe、cyqttve.exe、cmxpbpl.exe与meex.com是同一病毒。

二、修改注册表键值：

1、IFEO劫持等其它行为（略——参考这）

2、添加如下注册表键值以达到随机启动的目的：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmxpbpl 值：C:\windows\system32\egclmvo.exe 类型：REG_SZ
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dnpsalq 值：C:\windows\system32\cyqttve.exe 类型：REG_SZ

三、中毒症状：

最典型的就是许多安全软件无法使用（双击启动不了），这会导致你有重装系统的冲动……教你一个方法绕过，将你运行不了的安全软件改个名字即可（如果可以重命名的话）；系统时间被改为1980年11月15日；每个盘符根目录下都有病毒文件，双击打不开或在新窗口中打开（这往往导致许多人重装系统后又中毒了），并且盘符下还有病毒生成的随机7位字母的文件夹，此文件下还有个带点的文件夹，删不了；任务管理器中的病毒进程互相保护着，你根本没办法结束它们（其实办法还是有的）。

2007年6月6日专杀更新：

专杀目前可以完全查杀kocmbcd.exe、ouvjwsc.exe、nqgphqd.exe、udnnnvq.exe与cmxpbpl.exe通过移动盘传播的病毒！专杀到我网盘下载：http://ycosxhack.ys168.com/，病毒专杀目录，文件名为“Autorun随机七位字母命名的病毒专杀（更新）.rar”。