【IT168 专稿】该样本是使用“VC”编写的木马下载器，采用“UPX”加壳方式，企图躲避特征码扫描，加壳后长度为“29,696 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为下载大量病毒并运行。

    用户中毒后，会出现网络缓慢、杀毒软件无故退出，出现大量未知进程、windows系统运行缓慢和无故报错等现象。

    感染对象

    Windows 2000/Windows XP/Windows 2003

    病毒分析

    （1）运行notepad.exe，然后查找notepad窗口，关闭进程，如果运行失败，退出进程
    （2）禁用ekrn服务，结束ekrn.exe和egui.exe进程 
    （3）释放动态库tete4026937t.dll，并加载，遍历进程，如果发现CCENTER.EXE，KAVStart.exe和avp.exe进程，停止进程相关服务，结束相关进程，创建大量映像劫持
    （4）释放驱动文件恢复SSDT，结束大部分安全软件进程，删除所有注册表启动项目，删除动态库文件，删除驱动文件
    （5）停止wscsvc服务，停止并禁用SharedAccess服务
    （6）释放病毒文件extext4675562t.exe并运行
    （7）设置system32和%temp%目录权限为everyone完全控制,对比路径，如果发现自己是userinit.exe，运行explorer.exe，创建互斥防止第二次运行，访问病毒统计地址，然后下载病毒，并运行，修改创建注册表实现自启动
    （8）释放驱动文件pcidump.sys，创建服务启动，修改userinit.exe，删除服务，删除驱动文件
    （9）移动自身为%SystemRoot%\system32\scvhost.exe