病毒大百科

    这是一个恶意广告软件，隐蔽安装，难以卸载。病毒运行后会将自身复制到系统文件夹，并释放病毒文件，通过修改注册表达到自启动。
病毒修改了cmd命令关联的注册表项，当用户执行cmd命令前执行病毒。注入IE浏览器进程，在后台强制弹广告，干扰用户正常操作。
    另外，该病毒还会结束江民和360安全卫士监控程序，而且监控卡巴斯基实时警告窗口和瑞星监控窗口，自动点击跳过按钮以逃过查杀。
修改注册表，把自身加入禁止弹广告程序的白名单，逃过封杀。还会下载隐蔽软件至用户计算机。

1.运行后复制自身至
%sys32dir%\AlxRes070712.exe
%sys32dir%\inf\scrsys070712.scr
D:\myplayer.com
并释放文件
%windir%\mywinsys.ini
%sys32dir%\inf\scrsys16_070712.dll
%sys32dir%\winsys16_070712.dll
%sys32dir%\winsys32_070712.dll
然后删除自身

2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run Userinit "rundll32.exe %sys32dir%\winsys16_070712.dll start"

3.修改注册表键值
（禁用默认IE关联检查）
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Check_Associations "yes"=>"no"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor AutoRun ""=>"d:\myplayer.com"

4.修改注册表，令用户在运行cmd命令前执行病毒

5.使用ntsd命令结束以下进程
KRegEx.exe
KVXP.kxp
360tray.exe

6.监控卡巴斯基实时警告窗口和瑞星监控窗口，自动点击跳过按钮以逃过查杀

7.自动打开IE浏览器，在后台连接远程网站，下载隐蔽软件
hxxp://www.10000xx.com/
hxxp://www.cniin.com

8.修改注册表，将自身加入禁止弹广告程序的白名单，逃过封杀
Software\Baidu\BaiduBar\WhiteList
Software\Yahoo\Assistant\Assist\adwurl
Software\Microsoft\Internet Explorer\New Windows\Allow
Software\Microsoft\Protected Storage System Provider
\Software\Microsoft\Internet Explorer\New Windows\Allow
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\
\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\
Software\Google\NavClient\1.1\whitelist

9.注入IE浏览器进程，强制弹出广告，并迅速消失，干扰用户正常操作，并尝试修改hosts文件