病毒症状：

　　该样本是使用“VC++”编写的“下载者”，长度为“22,528”字节，使用“exe”扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是下载病毒木马。当用户计算机感染此木马病毒后， 用户中毒后会出系统运行缓慢无故报错，网络访问异常，并且发现未知进程等现象。

　　感染对象：

　　Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

　　传播途径：

　　文件捆绑、网页挂马、下载器下载

　　病毒分析：

　　1.病毒建立互斥体变量名：“ACDTEST……”，主要防止程序多次运行。

　　2.病毒获得系统目录路径，将"C:\WINDOWS\System32\userinit.exe"与病毒自身比较，是否注入其中进程，如果注入成功，通过外部命令执行"C:\WINDOWS\explorer.exe" 打开应用程序。

　　3.如果注入不成功，将病毒文件提升到"SeDebugPrivilege"的访问权限，并建立及修改注册表的信息：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　名称：Kav

　　数据：C:\WINDOWS\System32\kav.exe

　　以到达自启动的目的。

　　4.病毒建立线程，从指定网站下载hosts文件替换掉本地用户hosts文件并且将hosts文件修改为系统隐藏属性，屏蔽以下安全软件，

　　并且将操作系统版本，网卡地址，主机名等发到黑客指定的网站。

　　5，病毒获得临时文件路径，在该目录下创建%Temp%\ope1.tmp, 从指定网址下载大量病毒木马到临时文件运行，然后自删除。

　　病毒创建文件：

　　%SystemRoot%\system32\drivers\etc\hosts

　　%Temp%\ope1.tmp

　　病毒创建注册表：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　名称：Kav

　　数据：C:\WINDOWS\System32\kav.exe

　　病毒访问网络：

　　http://360cnfuck.*****.info:9550/10825host/1002.txt

　　http://www.*****.info:3352/count.aspx

　　http://360cnfuck.*****.info:9550/id/ud.txt

　　手动解决办法：

　　手动删除文件

　　1.删除 %Temp%\ope1.tmp

　　2.删除 病毒源程序

　　3.导入正确的hosts文件

　　手动删除注册表

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　名称：Kav

　　数据：C:\WINDOWS\System32\kav.exe

　　变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”

　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”

　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”

　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”

　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/148/12172648.shtml

(责任编辑：)