病毒名称：Trojan-PSW.Win32.Nilage.blg(Kaspersky)

病毒大小：15671 bytes

加壳方式：NsPack

样本MD5：4e6b49a4bdb1caecc0fa2b69ec81f998

样本SHA1：c4881275f29fd403009855afdad05a6163010a2c

行为分析：

病毒运行后，复制自身到：

%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.bak

并释放dll:

%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.dll

注入explorer.exe进程,监视发.送到消息队列的消息，盗取用户密码，帐号等敏感信息

创建ShellExecuteHooks，随机启动：

[HKEY_CLASSES_ROOT\\CLSID\\{0EA66AD2-CF26-2E23-532B-B292E22F3266}\\InProcServer32]

@="%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.dll"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]

"{0EA66AD2-CF26-2E23-532B-B292E22F3266} "="%ProgramFiles%\\Internet Explorer\\PLUGINS\ewTemp.dll"

病毒会在各分区根目录复制副本，创建autorun.inf实现自动.播放时运行病毒的动作： 字串3

X:\\autorun.inf

X:\\PegeFile.pif

autorun内容：

[autorun]

open=PegeFile.pif

shellexecute=PegeFile.pif

shell\\Auto\\command=PegeFile.pif

shell=Auto

病毒会注入Explorer.exe反弹连接，访问网络下载其它病毒或恶意程序并自动运行：

%Temp%\\1.exe

%Temp%\\2.exe

%Temp%\\3.exe

%Temp%\\4.exe

%Temp%\\5.exe

%Temp%\\6.exe

%Temp%\\7.exe

%Temp%\\8.exe

%Temp%\\9.exe

%Temp%\\10.exe

%Temp%\\11.exe

%Temp%\\12.exe

%Temp%\\13.exe

%Temp%\\14.exe

%Temp%\\15.exe

%Temp%\\16.exe

%Temp%\\17.exe

%Temp%\\system22.exe

添加注册表项,记录自身和下.载的病毒的版本信息：

[HKCU\\Software\\SetVer\\ver]

病毒还尝试删除verclsid.exe文件，用Findwindow函数查找1616116，1818118窗体