作者：清新阳光

最近U盘病毒auto.exe闹的比较凶，但与此同时，又发现了一个类似的通过U盘传播的下载者病毒，希望各位网友要提高警惕。

下面是这个病毒的分析：
File: servver.exe
Size: 37888 bytes
MD5: 411AD11AC0FF5164C8B18AB4AD0D5739
SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA
CRC32: F57CD054

生成如下文件
在系统盘下生成其副本
%system32%\servver.exe
并在每个磁盘分区下生成
autorun.inf和servver.exe

注册为服务 Windowsms
指向%system32%\servver.exe
启动类型：自动
显示名称：Telephots google
服务描述：为即插即用设备提供支持

试图修改注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun的键值 但测试时未实现

查找窗口“IE执行保护”查找到以后 查找按钮“允许执行”
并发送WM_LBUTTONDOWN的指令 模拟按键
查找窗口 瑞星卡卡上网安全助手－IE防漏墙”查找到以后 查找按钮 ldquo;允许”
并发送WM_LBUTTONDOWN的指令 模拟按键

查找有无drivers/klif.sys文件
如果有则通过cmd /c date 1981-01-12 命令把日期改为1981年1月12日
并在15s以后 把日期再改回来

调用CreateProcess打开进程c:\windows\system32\svchost.exe，然后调用WriteProcessMemory等函数往此进程中写入病毒代码，实现下载功能
下载如下
到%system32%文件夹下
下载的病毒有盗号木马 威金等
其中117.exe可以进行arp欺骗
113.exe具有感染htm文件的功能

盗号木马可以盗取以下一些网络游戏的帐号密码（包括但不限于）
征途
完美世界
QQ
...

并可结束如下进程或者服务（包括但不限于）
Noton AntiVirus Server
McTaskmanager
McShield
McAfeeFramework
kvsrvxp
DefWatch
KPfwSvc
KWatchSvc
RavMon.exe
RavMonD.exe
...

并可关闭自动更新和Windows自带的防火墙

木马和病毒植入完毕以后 sreng日志如下

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E418E9ED-9221-4661-B1F3-4AA35BD83832}> []
<{2960356A-458E-DE24-BD50-268F589A56A2}> []
==================================
服务
[Telephots google / Windowsms][Stopped/Auto Start]

[Remote Help Session Manager / Rasautol][Stopped/Auto Start]

[]
==================================
正在运行的进程
[PID: 3084][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\avwlbmn.dll] [N/A, ]
[C:\WINDOWS\system32\LYMANGR.DLL] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\thjphl.dll] [N/A, ]
[C:\WINDOWS\system32\bxtmaz.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\tojdcs.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\WinSys88.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
...

清除办法：

一、清除病毒主程序
下载冰刃,sreng (http;//www.antidu.cn有的下)
打开sreng
ldquo;启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

Telephots google / Windowsms

重启计算机
使用冰刃删除如下文件
%system32%\servver.exe
以及各个分区下的autorun.inf和servver.exe

二、清除木马
以前写的好多了，这里不再赘述。
具体方法参考之前的auto.exe的木马群的查杀
以及随机7位字母的dll木马群的查杀方法
三、下载威金专杀修复受感染的exe文件
有的下载

四、使用记事本修复受感染的htm文件