天高云淡

危险等级：★★★
病毒名称：Worm.Win32.AnHao.a
截获时间：2007-11-1
入库版本：20.16.32
类型：蠕虫病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

全球化传播态势：低

破坏力：高

清除难度：困难

破坏手段：下载，传播

这是一个DELPHI编写的蠕虫病毒，伪装成系统文件潜伏在用户计算机中，主要功能执行下载后的可疑文件，并通过移动存储设备传播，与安全厂商对抗。

1、病毒运行后，首先将自身复制到%Systemroot%\system32目录下名为: chostbl.exe,并将当前系统目录中的urlmon.dll复制为lovesbl.dll，然后向可移动存储设备和本地磁盘写入autorun.inf和病毒本身(sbl.exe)，其中autorun.inf的内容为:：
[autorun]
OPEN=sbl.exe
shellexecute=sbl.exe
shell\Auto\command=sbl.exe

达到自启动和传播的目的。

2、病毒调用CreateProcess打开进程c:\windows\system32\svchost.exe,然后调用VirtualAllocEx,WriteProcessMemory实现往此进程写入病毒代码，实现下载功能。其下载功能是通过调用”URLDownloadToFileA”实现的。

3、添加注册表服务项：
(1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AnHao_VIP_CAHW
(Display Name)A GooD DownLoadCAHW= (IMAGEPATH)%SYSTEM%\CHOSTBL.EXE 实现开机自启动目的

4、使用net stop关掉系统自带的防火墙，利用”LookupPrivilegeValueA”，”AdjustTokenPrivileges”提升自己的运行权限，然后遍历系统所有进程，查找以下进程:360tray.exe、360safe.exe、runiep.exe、avp.exe

如发现对应进程，则利用”TerminateProcess”关掉进程，使当前系统失去保护。

5、查找AVP.AlertDialog、AVP.Product_Notification窗口，假如存在则发送WM_QUIT消息关闭窗口。

6、查找安全软件窗口标题的要害字，试图关闭安全软件，要害字包括 ：防火墙、 卡卡、 江民、金山、任务治理器 、木马清道夫、木马克星 、超级巡警 、NOD32核心 、安全 、安全卫士 、木马杀客 、NOD32、内核 、主线程、微点。

7、尝试下载hxxp://qqq.wXXXX.cn/main.exe到c:\Program Files\Common Files\WIN.exe并运行。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到20.16.32版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。