【IT168 专稿】病毒侵害电脑安全，杀软保卫计算机，两者间的对抗永远没有结局，旧的病毒倒下了，新的恶意程序又出现了，病毒的再造力绝不可小视。而第三方存储设备却是病毒通过网络传输以外的传播大道，很多病毒程序撰写者正是瞄准此点，加大了此类病毒的编写量。

　　病毒简介

　　病毒名称：sbl.exe

　　病毒长度： 25088 字节

　　传播途径：第三方存诸设备

　　感染平台：windows98、windows2000、windows nt 、windows xp等

　　中毒症状：用户会发现在每个磁盘下都出现sbl.exe可执行文件并且删不掉，还伴有autorun.inf文件。杀毒软件自动关闭，无法查看杀软网页，如使用第三方安全软件也将被强制关闭，用户无法查看windows任务管理器。

　　病毒分析

　　当病毒感染一台计算机后，首先会在C:\WINDOWS\system32下生成1.inf启动信息文件、chostbl.exe程序文件和lovesbl.dll库文件，并在硬盘所有分区下创建autorun.inf和sbl.exe文件，其Autorun.inf内容为：

　　[autorun]

　　OPEN=sbl.exe

　　shellexecute=sbl.exe

　　shell\Auto\command=sbl.exe

　　shell=open

　　定时检测其属性是否为隐藏。随后病毒转战注册表，注册服务AnHao_VIP_CAHWA 显视名称为GooD DownLoad CAHW，数字字串为1，其值指向C:\WINDOWS\system32\chostbl.exe程序文件，以达病毒源程序自启动的目的。

　　病毒完成上述行为后，开始调用TerminateProcess函数关闭：360tray.exe、360safe.exe、avp.exe、runiep.exe等安全类软件;其次开始调用另一函数GetWindowsTextA以获得当前用户窗口标题，并利用PostMessageA函数尝试发送WM_CLOSE、WM_DESTROY、WM_QUIT指令自动关闭带有：江民、金山、微点、卡卡、木马克星、木马清道夫、超级巡警、安全卫士、NOD32核心及任务管理器等窗口，让安全软件无力运行;随后病毒程序调用FindWindowA函数，尝试利用函数PostMessageA发送WM_CLOSE指令，关闭AVP.AlertDialog、AVP.Product_Noti及AVP.Product_Notification窗体;最后会运行cmd.exe程序执行net stop sharedaccess命令 关闭Windows自带的防火墙服务，以达扫除障碍保存自已的目的。

　　此时病毒仍然没有罢手，而是在被感染计算机的C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程，自行利用svchost.exe程序每200ms一次从互联网中下载木马程序wei.exe、hao.exe、haowei.exe到C:\Documents and Settings目录下，分别命名为servciesa.exe~servciesc.exe。导致除了硬盘目录WINNT、WINDOWS、NetMeeting、RECYCLE、Internet Explorer、System Volume Information、Outlook Express、Common Files、Messenger、Windows Media Player、WinRAR、MSOCache、Documents and Settings下的exe无法被感染外，所有的硬盘exe可执行文件将被加入593字节的病毒内容，但其原图表不变。