病毒大百科

这是个利用FLASH漏洞进行传播的病毒下载器。它进入电脑后会破坏多款国产杀毒软件和安全辅助软件的正常运行，然后下载盗号木马到系统中运行。运行完毕后就完全删除自己的全部文件，不留下一点痕迹。

1. 关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换
为无效的文件。
2. 禁用系统安全中心、windows 防火墙、系统还原。
3. 结束360 的进程、删除其进程文件。并修改360 的设置，使360 的保护
失效。
4. 释放木马下载者病毒。
5. 删除病毒运行过程中生成的所有文件（不含释放的木马下载者）。注：此
项可配置，若不设置，病毒会释放副本C:\Progra~1\Realtek\APPath\RTHDCPL.ex，
e，并为之创建启动项：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\S
oundma n。

1.将本进程文件移动到同盘的根目录，且重命名为x:\NTDUBECT.exe
2.根据查找是否有avp.exe 进程、是否可以修改系统时间来检测当前系统中是否
有装有卡巴斯基，若有，程序返回。
3.禁用系统安全中心、windows 防火墙、系统还原。
4.设置HKLM\software\360safe\sa femon 子键下的ExecAccess,SiteAccess, MonAcc
ess, VDisk Access, ARPAccess, IEProtAccess 为0.
检测当前系统中是否有360tray.exe、360safe.exe，若有，结束进程、删除进程
文件。
5.检测系统中是否有ravmond.exe、kwatch.exe 、kasma in.exe。若有：
1) 将进程资源RCDATA/"ANTIR"释放到%temp%\ANTIR.exe 。
2) 将进程资源RCDATA/"KNLPS"释放到%temp%\ANTIR.sys 。
3) 生成批处理脚本%temp%\tmp.bat，内容为：(以下%temp%代表C:\DOCUME
~1\xz\LOCALS~1\Temp\)
cd %temp%
%temp%\ANTIR.exe -f $安全进程软件的进程id
del C:\DOCUME~1\xz\LOCALS~1\Temp\ANTIR.exe;C:\DOCUME~1\xz\LO
CALS~1\Temp\ANTIR.sys;C:\DOCUME~1\xz\LOCALS~1\Temp\tmp.bat
进程可为rfwsrv.exe, rfwmain.exe, kwatch.exe, kissvc.exe, kpfwsvc.exe, safebo
xTray.exe, RavMonD.exe
4) 调用WinExec("tmp.bat", SW_HIDE)执行脚本关闭安全软件的监控进程、删
除自身的文件。
5) 等待脚本被成功删除。最多等待10s。
6) 病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys，查询并替换毒霸和瑞星的文件。
7) (本样本无此行为)若系统中， RavMonD.exe、kwatch.exe 进程已经不存在，
且GEN_RTHDCPL 标志被设置，
若当前系统为NT(dwPla tformID, VER_PLATFORM_WIN32_NT), 创建启
动项:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\Soundma n "C:\Pr
ogra~1\Realtek\APPath\RTHDCPL.exe"
6.再次检测是否存在avp.exe 进程，若存在：
1) 调用mixer* 函数静音
2) 将系统年份修改为2000 年
3) 打开声音
4) 循环15 次设置系统时间
5) 再次禁用系统安全中心、windows 防火墙、系统还原。
设置HKLM\software\360safe\sa femon 子键下的ExecAccess,SiteAccess, Mon
Access, VDisk Access, ARPAccess, IEProtAccess 为0.
检测当前系统中是否有360tray.exe、360safe.exe，若有，结束进程、删除
进程文件。
6) 再次检测系统中是否有ravmond.exe、kwatch.exe 、kasma in.exe。
7) 将RCDATA\packageinfo 保存为%temp%\setup.exe, 并执行setup.exe。此文
件为一个木马下载者。
7.建立映像劫持，此项可由配置信息控制。
8.(本样本无此行为)恢复原来的时间，此项可由配置信息控制。
8.若生成了NTDUBECT.exe, 调用命令行"cmd /c del"删除之。