作者：大象 转自：:动物家园 bbs.kingzoo.com

来源地址：http://www.kingzoo.com/bbs/thread-13729-1-1.html

病毒标签：
	病毒名称： Worm.Win32.Downloader.pu 病毒类型： 蠕虫 文件 MD5： 54CCD54F51A0D054D71053D1C542F2ED 公开范围： 完全公开 危害等级： 4 文件长度： 36,796 字节 感染系统： Windows98以上版本 开发工具： Microsoft Visual C++ 6.0 SPx Method 1 加壳类型： WinUpack 0.39 final -> By Dwing
病毒描述：
	该病毒为蠕虫木马类，病毒运行获取系统进程，查找进程中是否存在AVP.exe（卡巴斯基杀毒软件），如找到该进程则把当前系统时间修改为2001年，目的使卡巴主动失效，遍历System32目录查找\s*st.exe的文件，找到svchost.exe文件后，创建一个进程并调用ReadProcessMemory函数读写该进程内存，调用ZwUnmapViewOfSection获取当前进程映射的基址，然后调用WriteProcessMemory函数对内存地址写入病毒数据，创建注册表病毒服务项、映像劫持多款安全软件，目的使系统安全性降低，连接网络读取列表下载大量恶意文件并运行，给用户清除病毒带来极大的不便。

行为分析：
	本地行为： 1、病毒运行获取系统进程，查找进程中是否存在AVP.exe（卡巴斯基杀毒软件）， 如找到该进程则把当前系统时间修改为2001年，目的使卡巴主动失效。 2、映像劫持多款安全软件： 　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 　　　　\Windows NT\CurrentVersion 　　　　\Image File Execution Options\被映像劫持的文件名称] 　　　　新建键值: "Debugger" 　　　　类型： REG_SZ 　　　　字符串： “C:\WINDOWS\system32\svchost.exe” 　　　　劫持文件名列表： 　　　　360rpt.exe、360safebox.exe、360tray.exe、adam.exe、 　　　　AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、 　　　　avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、 　　　　avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、 　　　　FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、 　　　　IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、 　　　　kabaload.exe、kaccore.exe、KaScrScn.SCR、KASMain.exe、 　　　　KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、 　　　　KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、 　　　　KISLnchr.exe、kissvc.exe、KMailMon.exe、KMFilter.exe、 　　　　KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、 　　　　KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、 　　　　KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、 　　　　kvolself.exe、KvReport.kxp、KVScan.kxp、KVsrvXP.exe、 　　　　KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、 　　　　KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、 　　　　mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、 　　　　nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、 　　　　PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、 　　　　qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、 　　　　rav.exe、RAVmon.exe、RAVmonD.exe、ravstub.exe、 　　　　ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、 　　　　regtool.exe、rfwmain.exe、FYFireWall.exe、、 　　　　rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、rfwstub.exe、 　　　　rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、 　　　　safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、 　　　　SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、 　　　　TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、 　　　　UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、 　　　　UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、 　　　　vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe 3、遍历System32目录查找\s*st.exe的文件，找到svchost.exe文件后， 创建一个进程并调用ReadProcessMemory函数读写该进程内存，调用 　 ZwUnmapViewOfSection获取当前进程映射的基址，然后调用 WriteProcessMemory函数对内存地址写入病毒数据，连接网络读取列表下载大量恶意文件并运行。　　　　 网络行为: 　　　　协议：TCP 　　　　端口：80 　　　　连接服务器名：http://www.iuwev.cn/baibai.txt 　　　　IP地址：121.10.107.66 　　　　描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容： 　　　　[5] 　　　　20080512 http://hi.aich****.cn/down/e1.exe 　　　　20080512 http://hi.aich****.cn/down/r2.exe 　　　　20080512 http://hi.aich****.cn/down/a3.exe 　　　　20080512 http://hi.aich****.cn/down/j4.exe 　　　　20080512 http://hi.aich****.cn/down/y5.exe 　　　　20080512 http://hi.aich****.cn/down/m6.exe 　　　　20080512 http://hi.aich****.cn/down/r7.exe 　　　　20080512 http://hi.aich****.cn/down/i8.exe 　　　　20080512 http://hi.aich****.cn/down/x9.exe 　　　　20080512 http://hi.aich****.cn/down/l10.exe 　　　　20080512 http://hi.aich****.cn/down/b11.exe 　　　　20080512 http://hi.aich****.cn/down/z12.exe 　　　　20080512 http://hi.aich****.cn/down/m13.exe 　　　　20080512 http://hi.aich****.cn/down/n14.exe 　　　　20080512 http://hi.aich****.cn/down/o15.exe 　　　　20080512 http://hi.aich****.cn/down/g16.exe 　　　　20080512 http://hi.aich****.cn/down/j17.exe 　　　　20080512 http://hi.aich****.cn/down/l18.exe 　　　　20080512 http://hi.aich****.cn/down/c19.exe 　　　　20080512 http://hi.aich****.cn/down/t20.exe 　　　　20080512http://hi.aich****.cn/down/p21.exe 　　　　20080512http://hi.aich****.cn/down/x22.exe 　　　　20080512http://hi.aich****.cn/down/m23.exe 　　　　20080512http://hi.aich****.cn/down/o24.exe 　　　　20080512http://hi.aich****.cn/down/b25.exe 　　　　20080512http://hi.aich****.cn/down/e26.exe 　　　　20080512http://hi.aich****.cn/down/v27.exe 　　　　20080512http://hi.aich****.cn/down/m28.exe 　　　　20080512http://hi.aich****.cn/down/u29.exe 　　　　20080512http://hi.aich****.cn/down/h30.exe 　　　　20080512http://hi.aich****.cn/down/b31.exe 　　　　20080512http://hi.aich****.cn/down/c32.exe 　　　　20080512http://hi.aich****.cn/down/u33.exe 　　　　20080512http://hi.aich****.cn/down/f34.exe 　　　　20080512http://hi.aich****.cn/down/p35.exe 　　　　 注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。 　　 　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录 　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录 　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录 　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区 　　　　%Documents and Settings% 　　　当前用户文档根目录 　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings 　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp 　　　　%System32% 　　　　　　　　　　系统的 System32文件夹 　　　　 　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32 　　　　windows95/98/me中默认的安装路径是C:\Windows\System 　　　　windowsXP中默认的安装路径是C:\Windows\System32

清除方案：
	手工清除请按照行为分析删除对应文件，恢复相关系统设置。 　 (1)使用“进程管理”关闭病毒相关进程。 　 (2)删除病毒服务注册表项： 　 　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft 　 　 \Windows NT\CurrentVersion] 　 　 键值："Image File Execution Options" 　 　 删除注册表Image File Execution Options键值

更多请关注：bbs.kingzoo.com （动物家园计算机安全咨询中心）

我以为都可以在这发帖了呢

紧急求助 病毒问题  从新分区 安装系统   安装杀毒软件 插了网线上网， 我只是上163  和央视 没有其他网站了  一打开网页 这个病毒提示就来  请热心老大 交我彻底解决的办法  谢谢了

[ 本帖最后由 jakc 于 2008-7-29 16:39 编辑 ]

请楼上的兄弟发倒求援区