最近这个病毒似乎很流行，但一直没有拿到样本，今天拿到了，分析了一下，发现以前分析过类似行为的病毒，但那个时候好像不叫这个名字，并且那个时候的病毒与现在的也有些不同。下面是今天这个病毒的分析

File: Server.exe
Size: 13327 bytes
MD5: F6CAC56E082ED27D232B87911F6D0442
SHA1: 5183CF2B9CE262265294B7778E0A2A59CD6EA2B1
CRC32: 2F3AA8FD
加壳方式：nSPack

病毒运行后：
文件变化:
释放文件
C:\WINDOWS\system32\IME\svchost.exe
C:\WINDOWS\system32\progmon.exe
C:\WINDOWS\system32\internt.exe

试图向所有分区的根目录下写入setup.exe和autorun.inf

注册表变化：
创建服务Alerter COM+ 指向C:\WINDOWS\system32\IME\svchost.exe
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建启动项目
<Internt><C:\WINDOWS\system32\internt.exe>
<Program file><C:\WINDOWS\system32\progmon.exe>
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为0x00000000
屏蔽显示隐藏

关闭带有如下字样的窗口：
Windows 任务管理器
兔子
任务
优化
注册表
Process
进程
毒
木马
天网
防火墙

修改system32文件夹的属性 为隐藏
连接网络：
下载http://www.xxxxxon9.com/tt11/psexec.exe
http://www.xxxxxon9.com/tt11/Server.exe
到system32文件夹
命名为1.exe和2.exe
1.exe不断试图访问局域网上的其他机器 试图将2.exe（就是前面的C:\WINDOWS\system32\IME\svchost.exe）复制到其他机器上
利用下列用户名和密码进行试探
用户名                           密码
administrator            空        123456 login love
admin                    空        123456 login love
Guest                    空        123456 login love
home                     空        123456 login love

并通过http://union.itlearxxx.com/ip/getip.asp做感染统计

感染除如下目录以外的exe文件（虚拟机里由于只有一个分区，没看到这些，只是从病毒中看到的）
%Program Files%\Windows Media Player
%Windows%\system
%Program Files%\Internet Explorer\Connection Wizard
Outlook Express
Windows Media Player
Internet Explorer
NetMeeting
ComPlus Applications
Messenger
WINNT
Documents and Settings
System Volume Information
Recycled
WindowsUpdate
Windows NT
Microsoft Frontpage
Movie maker
NetMeeting
WINDOWS

并且又在此病毒中发现了前几天发现的那个xiaohui的QQ号！！！

解决办法：

安全模式

打开sreng
启动项目        注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)
<Internt><C:\WINDOWS\system32\internt.exe>
<Program file><C:\WINDOWS\system32\progmon.exe>

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
[Alerter COM+ / Alerter COM+][Stopped/Auto Start]
        <C:\WINDOWS\system32\IME\svchost.exe><N/A>

把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

去掉system32的隐藏属性

开始 运行 输入cmd 打开命令行窗口 输入attrib -h C:\windows\system32

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除C:\WINDOWS\system32\IME\svchost.exe
C:\WINDOWS\system32\progmon.exe
C:\WINDOWS\system32\internt.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\2.exe
右键点击菜单中的 “打开” 打开其他分区
删除 autorun.inf和setup.exe

使用杀毒软件全盘杀毒 清理被感染的exe文件