【IT168 专稿】该样本是使用“VC”编写的木马下载器，长度为“40,960 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为下载大量病毒并运行。

    用户中毒后，会出现登录系统时声音效果消失,系统运行缓慢、网络速度下降、出现大量未知进程等现象。

    病毒分析

    （1）释放文件%SystemRoot%\prxid93ps.dat,写入感染标记字符串。如果写入成功,在病毒自身同目录下释放名为x2.dat的文件。
    （2）读取文件prxid93ps.dat中的字符串,如果读取成功,释放文件%SystemRoot%\ld12.exe,并删除x2.dat。
    （3）创建进程，执行%SystemRoot%\ld12.exe。
    （4）创建互斥体，防止多次运行。
    （5）通过修改注册表，使系统登录时没有音效,并实现病毒自启动。
    （6）访问指定网址,下载新病毒到本地并运行。
    （7）删除自身，退出进程。

    病毒创建文件：

    %SystemRoot%\prxid93ps.dat
    %SystemRoot%\ld12.exe
    X:\x2.dat (X为病毒主程序所在盘符)

    病毒删除文件：
　　
    X:\x2.dat (X为病毒主程序所在盘符)

    病毒创建注册表：

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\tp

    病毒删除注册表：

    HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current
    HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Default
    HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating

    病毒访问网络：
    http://upr***.com/achcheck.php
    http://u***ul.com
    http://umi***mmer.com
    http://bOmb***Om20090809.com
    http://glav***20090809.com
    http://Mymega***in03072009.com

    手动解决办法：

    1、手动删除以下文件：
　　
    %SystemRoot%\prxid93ps.dat
    %SystemRoot%\ld12.exe

    2、手动删除以下注册表值：

    键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    值: sysldtray
    数据:%SystemRoot%\ld12.exe

    键: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    值:tp
    数据:1234

    3、手动恢复以下注册表：

    恢复系统登录声音相关键值:
    键:HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current 
    值:[默认]
    数据: %SystemRoot%\media\Windows Navigation Start.wav

    键:HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Default
    值:[默认]
    数据: %SystemRoot%\media\Windows Navigation Start.wav