危险等级：★★★
病毒名称：Trojan.DL.Win32.Inject.rjh
截获时间：2007-11-29
入库版本：20.20.31

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

清除难度：中

破坏力：中

破坏手段：下载病毒程序并有反杀毒软件功能

  病毒运行后首先会判断System32路径下是否有guangd.exe这个文件，如果不存在则病毒没有在用户机器中运行过，然后病毒会进行初始化工作；如果存在这个文件，病毒则会实现下载功能：

初始化操作：

    病毒首先会把系统时间改为2005-10-31，使得卡巴斯基杀毒软件失效。

    然后遍历进程查找进程中是否存在以下反病毒软件进程，如果存在，则结束进程：
360rpt.exe、360Safe.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exenod32krn.exe、nod32kui.exe、PFW.exe、PFWLiveUpdate.exe、QHSET.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe…
 
    然后添加以下注册表项实现映像劫持，使得用户启动以下进程时启动病毒程序： 
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
\360rpt.exe\Debugger = "C:\WINDOWS\system32\guangd.exe"
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
\IceSword.exe\Debugger = "C:\WINDOWS\system32\guangd.exe"…
 
    然后在System32路径下释放病毒程序guangd.exe并添加以下注册表启动项实现自启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"DsNiu" = C:\WINDOWS\system32\guangd.exe
 
    然后病毒会遍历磁盘，把自己命名为guangd.exe拷贝到所有的磁盘中，添加autorun.inf得用户双击打开磁盘时同时运行病毒
 
    然后把System32的释放的病毒程序运行起来，最后病毒会在TEMP文件夹中释放自删除文件~DsNiu!.bat把自己删除。
 
下载操作：
 
    病毒会启动两个svchost.exe进程，然后病毒会用自身内存映像覆盖这两个svchost.exe进程的内存空间，使用户认为该进程是正常的系统进程，同时这两个进程会互相进行保护，如果这两个进程中的任意一个进程被用户结束，则另一个进程会重新运行病毒程序，使得用户无法手动结束该进程。
 
    病毒会每隔60秒从http://bibo.xxxx.org/gdxiazai.txt网址下载病毒程序并运行。

安全建议：

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

    3 不浏览不良网站，不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

    瑞星杀毒软件清除办法：

    安装瑞星杀毒软件，升级到20.20.31版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

（责任编辑：hahack）