病毒名称：Trojan-Downloader.Win32.small.ext,Trojan.BAT.KillAV.ec

　　病毒大小：83968 bytes

　　加壳方式：NsPack

　　样本MD5：5fb6ee2a1044c0e3c601fde18cf8180f

　　样本SHA1: c3597026c8003e49383794bcf43bb78ee04ac996

　　行为分析：

　　病毒运行后，首先创建C:Documents and Settings当前用户名Local SettingsTempIXP000.TMP文件夹

　　复制自身到创建的文件夹并运行，调用命令行：

　　[HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce]

　　"wextract_cleanup0"="rundll32.exe C:WINDOWSSYSTEM32advpack.dll,DelNodeRunDLL32,C:Documents and Settings当前用户名Local SettingsTempIXP000.TMP"

　　释放：

　　C:Documents and Settings当前用户名Local SettingsTempb-PEavp.exe

　　注：实质上就是把BAT文件变成EXE文件，内容：

　　Set date=%date%　

　　date 2004-10-09

　　@Echo Off & setloc l enableextensions

　　Ec o Ws cript.Sleep 1000 >

　　Set /a i = 5

　　:Timeout

　　If %i% == 0 Goto Next

　　setlo al

　　Set /a i = %i% - 1

　　cs cript //nologo fyzero.vbs　

　　Goto Timeout

　　Goto End

　　:Next　

　　dcte %date

　　把时间改成2004-10-09对付卡巴

　　创建批处理删除自身

　　释放C:Documents and Settings当前用户名Local SettingsTempb-mie.exe并运行，复制自身到：

　　C:WINDOWSwinllogon.exe

　　创建服务：

　　[HKLMSystemCurrentControlSetServicesIE_WinServerName]

　　显示名：IE_WinServerName

　　描述：Windows CreaterIE

　　可执行文件的路径：C:WINDOWSwinllogon.exe

　　创建批处理C:WINDOWSDeleteme.bat删除自身。

　　Deleteme.bat内容：

　　:try

　　del "C:DOCUME~1ADMINI~1LOCALS~1TempIXP000.TMPb-mie.exe"

　　if exist "C:DOCUME~1ADMINI~1LOCALS~1TempIXP000.TMPb-mie.exe" goto try

　　del %0

　　调用IE，连接网络下载其它病毒：

　　先连接hxxp://www.ysjjj.com/yz/2007R2.txt读取里面的内容，根据txt文件里的地址下载新的病毒。

　　2007R2.txt内容：

　　100|http://www.cntvz.com/Users/Editer/image/88.exe|1|www.yyybt.com/g/index.html|1|300|www.mmaab.com/ad/index.html|1|300|www.y

　　yybt.com/soft/2541.htm|1|300|www.en3721.com/shu/soft/8085.htm|0|300|www.***.com|0|300|www.***.com|0|300|www.***.com|0|300|www

　　.***.com|0|300|www.***.com|0|300|www.***.com|0|300|www.***.com

　　还会判断是否为Tencent_Traveler的主窗口，记录在CompareText.txt（未证实）

　　下载88.exe，命名为Dz并运行，是盗号的，行为如下：

　　复制自身到：

　　C:WINDOWSDz.exe

　　C:Program FilesInternet ExplorerInfoMs.sys

　　释放：

　　C:Program FilesInternet ExplorerInfoMs.tdm（监控消息队列的消息）

　　C:Program FilesInternet ExplorerInfoMs.tp3

　　创建ShellExecuteHooks：

　　[HKEY_CLASSES_ROOTCLSID{DD7D4640-4464-48C0-82FD-21338366D2D2}InProcServer32]

　　@="C:Program FilesInternet ExplorerInfoMs.tdm"

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

　　{DD7D4640-4464-48C0-82FD-21338366D2D2}"=" "

　　创建批处理_Ms.bat删除自身

　　手动清除方法：

　　1，断网

　　2，删除文件：

　　C:WINDOWSwinllogon.exe

　　C:WINDOWSDeleteme.bat

　　删除文件夹：

　　C:Documents and Settings当前用户名Local SettingsTempIXP000.TMP

　　3，删除注册表：

　　[HKLMSystemCurrentControlSetServicesIE_WinServerName]

　　[HKEY_CLASSES_ROOTCLSID{DD7D4640-4464-48C0-82FD-21338366D2D2}InProcServer32]

　　@="C:Program FilesInternet ExplorerInfoMs.tdm"

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

　　"{DD7D4640-4464-48C0-82FD-21338366D2D2}"=

　　4，重启

　　5，删除文件：

　　C:WINDOWSDz.exe

　　C:Program FilesInternet ExplorerInfoMs.sys

　　C:Program FilesInternet ExplorerInfoMs.tdm

　　C:Program FilesInternet ExplorerInfoMs.tp3

　?，清空IE临时文件夹和系统临时文件夹

　　7，修改回系统正常时间

　　附病毒内留下的信息：

　　"heihei"

　　"Huai_Huai"