DYD给的。。。说是之前很流行的

　　本来想用OD逆的。。

　　但是这玩意貌似有ANTIDEBUG，调试不过才几步就出错，根本下不去

　　懒得去找脱壳机了，直接虚拟机测试

　　看不出有什么厉害的地方

　　无非就是释放了个riebgpn.dll（随机名）然后插在EXPLORER.EXE里面而已

　　不过说实话。。。这玩意是启动的倒有点怪异。。

　　[Messenger / Messenger][Stopped/Auto Start]

　　%SystemRoot%System32msgsvc.dll>

　　auzouif.exe。。。依旧是随机名。。。跟gnuinuz.exe压根就是同一个文件

　　只是我不明白。。。后面跟着%SystemRoot%System32msgsvc.dll是做什么的？

　　msgsvc.dll这个文件上传了下，没问题。。

　　最奇怪的一点。。我在PM里居然没有发现auzouif.exe的创建行为。。。

　　有点诡异

　　总的来说。。不是很厉害的毒，作者的水平也颇值得怀疑，第一次运行的时候居然还出错了。。。

　　害的我又要再来一遍

　　以下附上样本 SRENG日志跟PM的日志

　　PS：还有一点看不懂的，这东西调用文件之前一定要去IFEO下查看是否有此文件的键。。。。。诡异

　　PS：还有两点要请教大家，这玩意设置了C:WINDOWSsystem32configsoftware.LOG的文件尾，可是我居然不知道该怎么看

　　还有HKLMSOFTWAREPoliciesMicrosoftWindowsSystemScriptsShutdown跟HKLMSOFTWAREMicrosoftWindowsCurrentVersionGroup PolicyStateMachineScriptsShutdownScript

　　它设置了这两个键值，但是没做什么有意义的事，而且从PM日志里可以看到创建完后访问居然失败。。

　　最奇怪的是在快结束时它又把这两个注册表项给删了。。。。