rundl132和熊猫烧香

C盘的病毒杀干净了，一旦双击D盘还会重新感染落雪木马，可见这个木马的作者利用了人门很多操作习惯上的漏洞。\"Generic host process for win32 services遇到问题需要关闭\"附江民”落雪“专杀工具
http://www.jiangmin.com/download/TrojanKiller.exe关于rundl132档案编号：CISRT2006015
病毒名称：Trojan.Win32.Delf.rf（AVP）
病毒别名：
病毒大小：31,208 字节 （xiaran.dat大小13,888字节，MD5;511ad1cbae299a3ccaeb2a903bdd9000）
加壳方式：PE_Patch, NSPack
样本MD5：17307830f71c63fac3d4ee790267761d
发现时间：2006.7.31
更新时间：2006.7.31
关联病毒：Worm.Win32.Viking.r
　　　　　 Trojan-PSW.Win32.Lineage.acw
　　　　　 Trojan-PSW.Win32.Delf.fz
　　　　　 Trojan-PSW.Win32.Lineage.acw
传播方式：通过恶意网站、其它病毒下载/释放等途径传播
技术分析
==========这是一个QQ尾巴，用来传播Worm.Win32.Viking.r的，本身由Worm.Win32.Viking.r下载：0Sy.exe。0Sy.exe是一个WinRAR自解压图标的程序，运行后释放xiaran.dat到：
%ProgramFiles%\\Common Files\\Microsoft Shared\\MSInfo\\xiaran.dat创建ShellExecuteHooks：CODE:[Copy to clipboard][HKEY_CLASSES_ROOT\\CLSID\\{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}\\InProcServer32]
@=\"%ProgramFiles%\\Common Files\\Microsoft Shared\\MSInfo\\xiaran.dat\"[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
\"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}\"=\"\"
更改默认IE主页：
CODE:[Copy to clipboard][HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]
\"Start Page\"=\"http://u4.sky99.cn\"
每3秒恢复一次。监视QQ聊天窗口，向好友发送QQ尾巴信息：
CODE:[Copy to clipboard]麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……http://q-zone.qq.c0m.%30%76%34%2E%6F%72%67/cgi-bin/Photo=No.947564
加密地址解释为：
http://q-zone.qq.c0m.0v4.org/cgi-bin/Photo-No.947564
清除步骤
==========1. 在注册表里删除病毒建立的ShellExecuteHooks信息：
CODE:[Copy to clipboard][HKEY_CLASSES_ROOT\\CLSID\\{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}][HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
\"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}\"
2. 重新启动计算机3. 删除文件：
%ProgramFiles%\\Common Files\\Microsoft Shared\\MSInfo\\xiaran.dat4. 更改IE主页设置－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
Viking.r rundl132.exe viDll.dll 0v4.org sky99 解决方案档案编号：CISRT2006014
病毒名称：Worm.Win32.Viking.r（AVP）
病毒别名：
病毒大小：31,215 字节
加壳方式：UPack
样本MD5：5777fc2962e8b608c92572d919d34bea
发现时间：2006.7.31
更新时间：2006.7.31
关联病毒：Trojan.Win32.Delf.rf
　　　　　 Trojan-PSW.Win32.Lineage.acw
　　　　　 Trojan-PSW.Win32.Delf.fz
　　　　　 Trojan-PSW.Win32.Lineage.acw
传播方式：通过QQ、恶意网站甚至感染文件等多种途径传播
技术分析
==========相关文件：
%Windows%\\rundl132.exe
%当前目录%\\viDll.dll又是一个Viking，和之前的变种一样，通过QQ、恶意网站、感染文件多种方式进行传播，恶意网站上下载下来的文件名是hou4.exe，恶意代码将其保存为%temp%\\g0ld.com，并运行。hou4.exe运行后复制自身到%Windows%\\rundl132.exe，释放viDll.dll到当前目录插入Explorer.exe和iexplore.exe进程。创建自启动项：
CODE:[Copy to clipboard][HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]\"load\"=\"%Windows%\\rundl132.exe\"
设置注册表信息：
CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\\SOFTWARE\\Soft\\DownloadWWW]
\"auto\"=\"1\"
并尝试访问网络下载其它木马程序：
http://www.q.q.39com.net/vipmm4/qq4.exe
http://www.m.h.39com.net/vipmm4/mh4.exe
http://www.z.t.39com.net/vipmm4/zt4.exe
http://www.r.h.39com.net/vipmm4/rxjh4.exe
http://www.w.w.39com.net/vipmm4/wow4.exe
这些大多都是盗取网游帐号的木马。另外，在实际测试过程中未发现感染exe文件的行为。如果感染文件，感染方式应该和之前变种类似，不感染主要系统目录下的exe文件：
system
system32
Windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files\\
Pro