病毒大百科

这是一个下载器程序。它会感染用户电脑里的EXE、HTM、HTML、PHP、ASP等格式的文件，然后从网上下载恶意程序执行。该毒还具有一定程度的对抗能力，会破坏一些安全软件的正常运行。

1 该病毒运行后通过LoadLibraryA 和GetProcAddress得到所需要的API函数地址

2 用前面得到的API加载自身资源释放一个exe程序到临时文件夹
C:\DOCUME~1\ADMIN~1.PAD\LOCALS~1\Temp\1.tmp_bak.exe

3 ShellExecuteA执行之

第二部分：病毒所释放的1.tmp_bak.exe流程分析
1 查找资源"CONNRES",找到则加载之

2 若当前进程是C:\WINDOWS\system32\mssmss.exe， ; 开启服务，程序退出
若不若，跳到3

3 CreateMutex一个名为"PEINFECT"的互斥量

4 call sub_402C10 该函数的作用是
4.1 call my_FindFirstFile 查找文件C:\WINDOWS\system32\mssmss.exe，若没有找 到，将自己拷贝到C:\WINDOWS\system32\mssmss.exe，设置属性为系统|隐藏，修 改文件时间。
4.2 打开注册表SYSTEM\\CurrentControlSet\\Services\\Windows WorkStation
ChangeServiceConfigA 修改WorkStation服务的设置，将mssmss.exe设置为服务程 序,设置成服务程序后，在服务启动之后，病毒将开始感染除指定文件夹之外的文 件夹下的EXE文件和HTM,HTML,ASP,PHP,CGI文件,EXE文件的感染方式为在原 始文件添加一个名为ada.的节，并添加一个名为"PERES"的资源。资源内容即为 "1.tmp_bak.exe".修改程序入口点 的到ada节。被感染的程序执行后，将提取资源释 放到1.tmp_bak.exe，执行之。程序将先执行病毒代码再进入原程序。
脚本文件则添加一段代码内容如下：

4.3 call sub_402900 该函数的作用是
4.3.1 提取自身资源释放到提取自身资源释放到
"C:\WINDOWS\system32\mssmss.dll"
4.3.2 更新资源

4.3.3 遍历进程。查找360安全卫士。若找到360安全卫士，则结束之。

4.3.4 注册刚释放的DLL。ShellExecuteA
C:\WINDOWS\system32\regsvr32.exe /s /c C:\WINDOWS\system32\mssmss.dll

4.3.5 ShellExecuteA ; 打开"C:\Program Files\Internet Explorer\iexplore.exe"

第三部分：病毒所释放的mssmss.dll的作用
1 查找资源"FIGRES"，若找到则加载之

2 创建线程，该线程的作用是
2.1 比较当前进程名是否是iexplore.exe,
若是，走2.2，若不是，走2.4

2.2 遍历进程查找 "avp.exe" ，没找到卡巴进程则跳走，找到则修改系统时间
修改系统服务，将C:\WINDOWS\system32\mssmss.exe修改为系统服务程序

2.3 从网上下载程序http://i***en.yh****s.com/iedown/down/upbho.exe 到
IE缓存文件夹TemporaryInternet Files\LoadName1.exe
.执行一个bat文件,该BAT文件的作用是执行刚下载下来的EXE文件并删除BAT 文件

2.4 比较当前进程名是否是explorer.exe ，若是，创建新线程，该线程的作用是，
监视当前是否有卡巴的进程，有则修改系统时间，并隔一时间开启一次服务（病毒 程序的感染线程）

3 结束