作者：清新阳光                                                            ( http://hi.baidu.com/newcenturysun)
日期：2008/03/29                                                         (转载请保留此声明)

样本来自网友qcqyt，在此表示感谢

这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标，映像劫持杀毒软件...

1.病毒启动后，释放如下文件或者副本
%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。

2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...

3.映像劫持如下杀毒软件和安全工具：
360Safe.exe
360tray.exe
ACAAS.exe
ACAEGMgr.exe
ACAIS.exe
ACALS.exe
ACASP.exe
ACenter.exe
AFMain.exe
AGB6.EXE
AGBKrnl.exe
AhnSD.exe
AhnSDsv.exe
AluSchedulerSvc.exe
AScheduleService.exe
AST.exe
avcenter.exe
avgnt.exe
avguard.exe
CCenter.exe
ccSvcHst.exe
FilMsg.exe
FrameworkService.exe
KASMain.exe
KAV32.exe
KVIETools.exe
kvsrvxp.exe
KWatch.exe
mcconsol.exe
Mcshield.exe
MPMain.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
MSProxy.ahn
naPrdMgr.exe
nod32krn.exe
nod32kui.exe
PCCIOMON.EXE
PCCVScan.exe
PCMAIN.EXE
PowerRmv.exe
psview.exe
Rav.exe
RavMonD.exe
sched.exe
sessmgr.exe
shstat.exe
SnipeSword.exe
TRIALMSG.exe
Twister.exe
vcn.exe
vcs.exe
vcw.exe
VsTskMgr.exe
劫持到%systemroot%\system32\soleboy.exe

4.添加注册表启动项目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy: "%systemroot%\system32\soleboy.exe"达到开机启动自身的目的

5.修改com和exe文件的文件关联指向soleboy.exe
HKLM\SOFTWARE\Classes\comfile\shell\open\command\: "soleboy.exe "%1" %*"
HKLM\SOFTWARE\Classes\exefile\shell\open\command\: "soleboy.exe "%1" %*"

6.修改exe的图标关联 指向soleboy.exe，使得所有exe图标变成小狗图案。
HKEY_CLASSES_ROOT\exefile\DefaultIcon: "soleboy.exe"

Snap1.jpg (72.58 KB)

2008-3-29 16:31

7.查找带有如下字样的窗口，找到后利用sendmessage函数发送WM_CLOSE命令关闭窗口
瑞星反病毒资讯网 [信息安全 源自瑞星] - Windows Internet Explorer
Windows 任务管理器
注册表编辑器
江民进程查看器
欢迎光临江民科技[网络安全，选择江民] - Windows Internet Explorer
金山毒霸信息安全网－免费下载杀毒软件 - Windows Internet Explorer
卡巴斯基实验室: 反病毒软件,反间谍程序,垃圾邮件过滤 - Windows Internet Explorer
360安全卫士－Windows Internet Explorer
防病毒、反间谍软件、端点安全、备份、存储和遵从解决方案－赛门铁克公司－Windows Internet Explorer
大型企业 - 趋势科技 中国 - Windows Internet Explorer
东方微点 - Windows Internet Explorer
...

8 删除%systemroot%\system32\taskkill.exe

9.作者在soleboy.txt中写道：
I want to go to university.
I think Jiangmin Antivirus Software is the best security software!
Don't worry ,I won't destroy your data.

解决方法：
下载sreng，Icesword

sreng:http://www.skycn.com/soft/23312.html#download
Icesword:http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

已经安装winrar的请打开winrar的安装路径 找到winrar.exe 把他改名为winrar.bat双击运行
然后单击winrar菜单栏“文件”按钮 打开压缩文件

Snap3.jpg (50.42 KB)

2008-3-29 16:31

分别解压sreng和Icesword
1.把Icesword.exe改名为1.bat运行
打开Icesword－进程
结束soleboy.exe进程

Snap4.jpg (104.69 KB)

2008-3-29 16:31

2.同样方法解压sreng
把srengps.exe改名为 2.bat运行
启动项目 注册表
删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<soleboy><C:\WINDOWS\system32\soleboy.exe> [Soleboy]
并删除所有红色的IFEO项目

Snap5.jpg (79.82 KB)

2008-3-29 16:31

系统修复 文件关联 点击“修复”按钮
3.开始 运行 输入regedit
展开HKEY_CLASSES_ROOT\exefile\DefaultIcon 修改该项数据为"%1" （不包括引号）

[ 本帖最后由 清新阳光 于 2008-3-29 16:31 编辑 ]

可爱的“小狗上学”病毒

看看

又是动物园系列的？
~~~
狗狗有了
熊猫有了
猴子有了
黑炸弹有了
~~
下一个是什么动物呢？
~
ps：图标挺好看，比熊猫好看多了。

图标粗糙,但看来作者并不想造成多大的破坏,否则为何改图标,若不改图标,那将会很多人不能及时发现异常现象了

晕，

貌似特邀嘉宾Vegeta发过了，试过，比较容易清除和修复。在其他地方看到有人拿它与熊猫烧香比，感觉不是一回事。

现在的病毒怎么都喜欢映像劫持呢?太变态 了^

中国不缺聪明人,连病毒编的都这么有趣

I want to go to university.
I think Jiangmin Antivirus Software is the best security software!
Don't worry ,I won't destroy your data.
他要去大学?

这些不重要！紧要的是金山毒霸抵挡行不行！ {tsj19} {tsj19}

那句英语不是说他想去大学，而是他想上大学，看来该病毒作者还没上大学。是小孩子一个啊。不过为什么他认为江民杀毒软件是最好的软件呢？江民杀毒在DOS时代和WIN95/98时代确实不错，好多计算机生产厂都是用他的产品来对计算机预杀毒。

ff

可爱的“小狗上学”病毒

图标粗糙,但看来作者并不想造成多大的破坏,否则为何改图标,若不改图标,那将会很多人不能及时发现异常现象了!
当然不一样拉

这些不重要！紧要的是金山毒霸抵挡行不行！   

用VB也可以编写怎么牛的病毒

好棒啊，我想要

好可爱的病毒