分析报告

行为概述

该EXE是病毒下载器，它会：

1.参考系统C盘卷序列号来算出服务名，EXE 和DLL 的文件名。

2.在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性。

3.在系统system32 下放置自身副本“随机名.exe ”和释放出来的“随机名.dll” 并将它们伪装成具有隐藏属性的系统文件。

4.修改系统键值，将系统 隐藏文件选项删除，造成用户无法查看隐藏起来的病毒文件。

5.修改 系统注册表，将自己注册为服务开机启动。

6.搜索注册表启动项里是否有“360”字符串键值，有了删除，并用ntsd 关闭程序，搜索窗口是否含有“ 杀毒软件”，有了模拟操作关闭。判断进程里是否有 卡巴斯基的文件AVP.EXE， 有则修改系统时间，使得卡巴失效。

7.通过网站文件列表下载其它病毒。

8.删除该病毒以前版本遗留的注册表信息。

9.“随机名.dll” 会远程注入 系统进程中的所有进程

执行流程

1.参考C 盘卷序列号的数值算出8 位随机的服务名，exe 和dll 的文件名。（还记得AV终结者吗？最开始出来就是随机8位数文件名的EXE）

2.搜索当前文件名是不是auto.exe，若是调用explorer.exe ShellExecuteA 打开驱动器。

3.对抗 杀毒软件：

1）搜索注册表启动项里是否有“360”字符串键值，有则删除，使得360以后都无法自动启动。并紧接着关闭已启动的360程序。

2）检查当前进程中有没有 卡巴斯基的进程AVP.EXE ，有的话修改系统时间，令依赖系统时间进行激活和升级的卡巴失效。

3）病毒还会试图关闭 杀毒软件它查找 毒霸的监视提示窗口"KAVStart" ，找到后通过PostMessageA 发送CLOSE 消息，然后用FindWindowExA 搜索"杀毒软件" 通过SendMessageA 发送关闭消息，以及模拟用户，发送点击鼠标按键消息关闭。不过，经测试以上方法都不能关闭绝大部分 杀毒软件。