病毒大百科

这是一个下载者病毒，该病毒通过映象劫持技术来使一些安全工具和杀毒软件无法运行，并会不断检测窗口来关闭一些杀毒软件及一些关键字为“木马” ，“杀毒”，“防火墙”， “任务管理器”……之类的窗口。 病毒会在每个分区下释放 AUTORUN.INF 来达到自运行， 运行成功后会下载大量的木马到本地机器运行。

病毒简介 这是一个下载者病毒,该病毒通过映象劫持技术来使一些安全工具和杀毒软件无法运行,并会不断检测窗口来关闭一些杀毒软件及一些关键字为 ‘木马’ ,’杀毒’,’防火墙’, ’任务管理器’….. 之类的窗口. 病毒会在每个分区下释放 AUTORUN.INF 来达到自运行. 病毒运行成功后会下载大量的木马到本地机器运行.

病毒功能：
一、自动检测是否安装卡巴，安装立刻修改时间使之失效.无卡巴存在不改系统时间。

二、映像劫持所有主流安全产品，使所有安全软件失效。运行以下的安全工具及杀毒软件
会被映象劫持 ：
1. 360rpt.exe (360 木马举报程序）
2. 360Safe.exe , 360tray.exe, safelive.exe (360 安全卫士）
3. adam.exe (绿鹰PC万能精灵)
4. AppSvc32.exe ,
ccSvcHst.exe ,
symlcsvc.exe
isPwdSvc.exe
(Symantec 杀毒系列)
5. autoruns.exe (Sysinternals公司的自启动项管理器)
6. avp.exe , avp.com, AvMonitor.exe (卡巴斯基杀毒软件)
7. CCenter.exe (瑞星信息中心程序)
8. FileDsty.exe (瑞星文件粉碎器)
9. FTCleanerShell.exe, TROJANWALL.exe (Windows木马清道夫)
10. IceSword.exe (冰刃)
11. iparmo.exe , Iparmor.exe (木马克星)
12. avgrssvc.exe (AVG 反病毒)
13. kabaload.exe (卡巴斯基下载程序)
14. KaScrScn.SCR (金山屏保杀毒)
15. KASMain.exe , KASTask.exe (金山清理专家)
16. KAV32.exe
KAVDX.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KWatch.exe
KWatch9x.exe
KWatchX.exe
TrojanDetector.exe
UpLive.EXE
(金山毒霸杀毒软件)

17. KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
(金山防火墙)

18. KRepair.COM
19. KsLoader.exe
20. KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
TrojDie.kxp
UIHost.exe
(江民杀毒软件)
21. loaddll.exe
22. MagicSet.exe (超级兔子魔法设置)
23. mcconsol.exe (McAfee 的 VirusScanConsole)
24. mmqczj.exe (木马清除专家)
25. mmsk.exe (木马杀客)
26. NAVSetup.exe (诺顿杀毒软件)
27. nod32krn.exe, nod32kui.exe (NOD 32 杀毒软件)
28. PFW.exe, PFWLiveUpdate.exe (天网防火墙)
29. QHSET.exe
30. Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
SmartUp.exe
(瑞星杀毒软件)
31. rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
(瑞星防火墙)

32. RsAgent.exe
Rsaupd.exe
runiep.exe
(瑞星卡卡助手等工具)
33. scan32.exe , shcfg32.exe (McAfee VirusScan)
34. SREng.exe (SREng )
35. SysSafe.exe (SSM 监控软件)
36. UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
(TinyFirewall 防火墙 )
37. HijackThis
38. WoptiClean.exe (优化大师)

三、不断检测窗口标题，如果匹配到以下关键字就对该窗口发送关闭、退出和销毁消息
使 NOD32,微点，360 安全卫士，任务管理器等，自动被关闭。甚至连一些安全网站都
无法打开。

防火墙
任务管理器
木马
超级巡警
主线程
NOD32
微点
安全卫士
NOD32 内核
杀毒

四、 病毒运行时,为了使自己下载流畅就会劫持其它下载者的运行:
zxsweep.exe
sos.exe
auto.exe
UFO.exe
AutoRun.exe
XP.exe
taskmgr.exe (注,病毒也劫持系统任务管理器)
ShuiNiu.exe
Systom.exe
svch0st.exe

五、 病毒将自己拷贝到%WINDIR%\SYSTEM32\Flower.exe 和
%WINDIR%\SYSTEM32\drivers\disdn\Flower.exe. 并将系统的URLMON.DLL 拷贝到
%WINDIR%\SYSTEM32\Flower.DLL,通过调用Flowe.dll 中的下载函数来绕过一些
下载监视软件.病毒还将下载代码注入到系统进程中,使一些防火墙软件和下载者监视器失效.

六、 病毒会在所有硬盘分区和U盘分区下释放病毒的副本，并创建 AUTORUN.INF 文件指向它，使用户一打开分区就激活病毒。