该病毒为第五代机器狗，可穿透还原系统，使还原系统失效。巡警团队在捕获该样本后，对样本进行了分析。该病毒运行后释放一个tmp文件到临时文件夹下，该文件实际上是驱动文件，可以使主动防御和还原系统失效，修改系统时间，对安全软件进行映像劫持，链接网络下载病毒，严重的干扰了用户使用计算机并威胁用户计算机系统安全。超级巡警提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。- ^6 y1 M$ @) r

4 V- u* I9 ~+ r1 X一、病毒相关分析：
+ Q4 B) e+ n* Q0 o" d2 E* i5 y' |6 r* ?  ^: @" {3 T. y
病毒标签：
% M, {2 `+ H2 T: {) ^" Q: h/ {. u1 {$ f" ~/ u  d3 l3 D( |
病毒名称：Worm.Win32.Downloader.pu6 l3 b; i  [$ x

, k* u* d0 D9 ~; n& J# O  h# D6 i# }病毒类型：第五代机器狗
; `2 L' ?6 ~, d: {* O% {
& f4 Y- q: A2 `2 e- i危害级别：5
# D% r$ {2 g- M. d  k, x8 D7 d6 @) D) \2 {( O; Z( [
感染平台：Windows
) K  U9 m& |9 F4 i2 Y
" G7 {: m; K2 ~% m; e( G病毒大小：36,792字节
- i9 s& y$ \9 K* t+ C
! k" \/ J0 H( Y$ @& w  g' P/ oSHA1　：  D38CF55F30A15EDD9C11F66DECA70FB1D364C74F
+ c& A  ]" p7 m& D& E7 y3 k: ?2 C, Y
& w  u; C; d' d% U! W加壳类型：WinUpack  F9 Q3 t3 f2 l0 k/ k  f

! r6 J! A7 m3 _3 T. H, W开发工具：Microsoft Visual C++- q% e! h9 u: z/ Y" ?3 V

( P8 Z6 S. D. D) H  A* `病毒行为：
  Z, I, B, {% a) D, x8 V1 b  }: {9 m5 R9 c  P
1、病毒运行以后释放文件，该文件加载之后被自删除：
  u5 c- G- j* `. e* c7 y' c+ w* z) m8 j) V( r2 L
%Temp%＼~wxp2ins.171.tmp(随机名)
" V# w& z. u  {- R: K) k: e6 |3 M% p. U) }
2、遍历当前进程，如发现avp.exe进程，就调用SetSystemTime函数将系统时间修改为2001，使衍生文件的创建时间都为2001年，衍生病毒文件不容易被用户察觉。; X1 f$ }* }0 p1 j- e

8 ]7 Z8 f7 @3 f- d! W% w3、添加注册表映像劫持，导致用户运行安全软件，实际运行的是病毒程序，被劫持的安全软件如下：; Y8 n5 z+ K. S4 |( P+ ]6 c

. n( F* h) c! E8 D2 m360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、6 P% b$ t$ _; r3 x' [
( N- K. H9 x% C* f& d/ G' h, Q
ati2evxx.exe、autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、8 F6 V- [1 w" j
$ q! ~6 l# i1 P. M
CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、; z* F; `' ^6 q' h' l; N4 D+ {2 @
. t9 A& i/ r: E3 g
HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
( O! b. y, V" i( ?+ b4 A) o' @2 T/ ]4 f+ [& P3 R2 V9 p( Z6 o5 @: `# r
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
! h+ w% z8 o+ x( L
1 n  y; I6 y3 ^9 IKAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
% X3 S- u$ x8 }: h$ A" [: a6 v( P2 x0 k4 }8 c8 Q' m. M
KMFilter.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRegEx.exe、KRepair.com、KsLoader.exe、7 m+ G" y/ i% a$ T- ?
. y0 P' [' k3 J, @/ R( H
KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、7 I+ C8 F& u5 G- R

4 {4 Z" S8 G' Z* `& iKvReport.kxp、KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、
' M5 p1 C0 X( v  v7 J# E: }: v, K5 B2 o/ J' y2 R
KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、
4 d( _0 X( p: ^1 G; G5 \% J9 v0 w7 z1 E8 C0 m
Navapw32.exe、nod32krn.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、/ x$ v1 L3 x8 x' u
! E  A- x+ `" {( N2 w+ v
PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、
4 Z! c. J0 G& E, L6 j* Z% s! C2 Z3 z/ O" O- N& K
rav.exe、RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、7 p( p/ Q) X# W

9 y3 K- X1 G6 h8 P# CRegClean.exe、regtool.exe、rfwmain.exe、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、rfwstub.exe、" r# r3 ^# k$ W  r) d: P

4 I% l  v5 Z( v9 Orising.exe、Rsaupd.exe、runiep.exe、safebank.exe、safeboxtray.exe、safelive.exe、scan32.exe、
( N5 E3 {. U; q; v0 k! R/ L
: ^& H( W6 w/ K& Eshcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、
: L2 R- C* e3 `- w# a" k  R! n7 \' q$ e
Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、
5 N9 M: U7 A) X" g
4 g! {4 E3 P, `( p# M" z/ O* [UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe
4 W1 X$ f, w" t+ P& o9 \8 F6 M  O
4 r; {+ n/ H' [' F4、创建进程svchost.exe，然后将恶意代码写入进程。
- r# ], b- B! C0 u$ h+ q3 g
: j5 A0 E/ ^  d( E1 S5、添加注册表项，创建服务加载驱动，驱动的作用是使主动防御和还原保护失效。
/ x0 V; ]. K% K2 z' a0 K% W二、解决方案' h# ]- e) a3 P3 ~' u

# z. W9 Q) R; o$ t" y: l推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
# P; N  S- s8 F/ q4 |" B) ?* `& J; O# y; i
超级巡警下载地址：http://www.sucop.com/download/16.html0 l7 t  r9 a% b5 J+ y

6 g& W1 ~6 v% y0 d* |( k手工清除方法：
. \& A1 Y9 ~9 c4 n8 ?) V* G/ ]4 h9 x9 \: s4 k, U& O
1、结束病毒进程。打开超级巡警ToolsLoader.exe工具（此工具在超级巡警安装目录下），选择进程管理功能，终止svchost.exe进程。
1 p2 S5 t+ P# W6 s. q
% s' f  s/ H: Q" o  m& k2、修复安全模式启动/映象劫持。打开超级巡警，点安全优化，选择系统修复，选中修复安全模式启动/映象劫持，修复即可。
" n2 M8 Z, U4 O, U3 }! Y
# B  h: ]" D/ _/ g2 {. H# l) C三、安全建议6 h2 j9 O% \/ B

* W9 G1 O; E8 @3 B1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
& z0 ?4 m3 ]( W6 ]$ t. B2 o8 |
' a8 t  F/ l# e  Y5 f$ D2、禁用不必要的服务。/ x8 C, X! [; b- l" a2 [8 m3 ^9 o

2 C; a+ r" b: E- o. q3、不要随便打开不明来历的电子邮件，尤其是邮件附件。% x( @. ~( x( P$ x! o: c

4 ?) f/ W% u/ E9 i( y+ ~4、不要随意下载不安全网站的文件并运行。
% Z1 u8 e- O$ m& e; K: ]1 ~1 S2 {5 U. i: t- S( [& q% w
5、下载和新拷贝的文件要首先进行查毒。
! e7 }8 v) n0 ~3 r. m2 \7 P
" G& k& m, H5 I4 p8 E/ C6、不要轻易打开即时通讯工具中发来的链接或可执行文件。  _2 Z# u+ |( a! U7 _
# {  Q  X, [4 g3 R0 D
7、使用移动存储介质进行数据访问时，先对其进行病毒检查，建议使用超级巡警U盘免疫器进行免疫。
0 N3 i$ _. h6 \$ O8 x, {2 X% F) Y) T! M
注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%＼System，8 a# x  q& L5 g2 j
0 @8 w7 {3 V9 D0 ]& ?' \, _
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%＼System32。其它：
# ]: g% v3 g) h# ~6 C( n6 E* i2 ^5 v) p
%SystemDrive%   系统安装的磁盘分区( H% v% S) ]% D4 |# g
" b" D' K6 c6 ?; Q
%SystemRoot% = %Windir%  WINDODWS系统目录
- n, y% U. u+ r2 Q8 h
' y% p9 C# J6 Y0 i4 S%ProgramFiles%  应用程序默认安装目录! Q' C0 `, b3 U* Q
5 Z8 r) H# h  S# L+ ]
%AppData%  应用程序数据目录
5 t4 ~" t$ G( A0 ~1 y7 D: p
& n4 o8 f  k- u7 F( v: C" z) W%CommonProgramFiles%  公用文件目录
' L, S- P. E) u/ L
. M; i9 t: i) Q+ |%HomePath%  当前活动用户目录2 Y7 B- l# U" z" ^' h* t

, l+ |5 t* \) T% ~%Temp% =%Tmp%  当前活动用户临时目录
# c2 M" B! R; s* h; X4 G
  a( |0 l  b: h7 N& A; v%DriveLetter%  逻辑驱动器分区, {- f  A( H0 S6 _. i3 e+ W) C2 _% Z

/ h3 i, E) c0 c  S2 \: t9 J%HomeDrive%  当前用户系统所在分区

很厉害啊. d8 W9 I, t' X
直接把安全软件全通杀了