Worm.Win32.Downloader.pu(第五代机器狗)分析与解决方案

　　该病毒为第五代机器狗，可穿透还原系统，使还原系统失效。巡警团队在捕获该样本后，对样本进行了分析。该病毒运行后释放一个tmp文件到临时文件夹下，该文件实际上是驱动文件，可以使主动防御和还原系统失效，修改系统时间，对安全软件进行映像劫持，链接网络下载病毒，严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。

　　一、病毒相关分析：

　　　病毒标签：

　　　 　 　 病毒名称：Worm.Win32.Downloader.pu

　　　 　 　 病毒类型：第五代机器狗

　　　 　 　 危害级别：5

　　　 　 　 感染平台：Windows

　　　 　 　 病毒大小：36,792字节

　　　 　 　 SHA1　：　D38CF55F30A15EDD9C11F66DECA70FB1D364C74F

　　　 　 　 加壳类型：WinUpack

　　　 　 　 开发工具：Microsoft Visual C++

　　　病毒行为：

　　　 　 　 1、病毒运行以后释放文件，该文件加载之后被自删除：

　　　 　 　 　 　%Temp%~wxp2ins.171.tmp(随机名)

　　　 　 　 2、遍历当前进程，如发现avp.exe进程，就调用SetSystemTime函数将系统时间修改为2001，使衍生文件的创建时间都为2001年，衍生病毒文件不容易被用户察觉。

　　　 　 　 3、添加注册表映像劫持，导致用户运行安全软件，实际运行的是病毒程序，被劫持的安全软件如下：

　　　 　 　 　 　360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、

　　　 　 　 　 　ati2evxx.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、

　　　 　 　 　 　CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、