最近U盘病毒auto.exe闹的比较凶，但与此同时，又发现了一个类似的通过U盘传播的下载者病毒，希望各位网友要提高警惕。

　　下面是这个病毒的分析：
　　File: servver.exe
　　Size: 37888 bytes
　　MD5: 411AD11AC0FF5164C8B18AB4AD0D5739
　　SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA
　　CRC32: F57CD054

　　生成如下文件
　　在系统盘下生成其副本
　　%system32%\servver.exe
　　并在每个磁盘分区下生成
　　autorun.inf和servver.exe

　　注册为服务 Windowsms
　　指向%system32%\servver.exe
　　启动类型：自动
　　显示名称：Telephots google
　　服务描述：为即插即用设备提供支持

　　试图修改注册表　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun的键值 但测试时未实现

　　查找窗口“IE执行保护”查找到以后 查找按钮“允许执行”
　　并发送WM_LBUTTONDOWN的指令 模拟按键
　　查找窗口“瑞星卡卡上网安全助手－IE防漏墙”查找到以后 查找按钮“允许”
　　并发送WM_LBUTTONDOWN的指令 模拟按键

　　查找有无drivers/klif.sys文件
　　如果有则通过cmd /c date 1981-01-12 命令把日期改为1981年1月12日
　　并在15s以后 把日期再改回来

　　调用CreateProcess打开进程c:\windows\system32\svchost.exe，然后调用WriteProcessMemory等函数往此进　　程中写入病毒代码，实现下载功能
　　下载如下
　　http://ads.*.com/100.exe～http://ads.*.com/119.exe
　　到%system32%文件夹下,下载的病毒有盗号木马 威金等,其中117.exe可以进行arp欺骗.113.exe具有感染htm文件的功能

　　盗号木马可以盗以下一些网络游戏的帐号密码（包括但不限于）
　　征途
　　完美世界
　　QQ
　　...

　　并可结束如下进程或者服务（包括但不限于）
　　Noton AntiVirus Server
　　McTaskmanager
　　McShield
　　McAfeeFramework
　　kvsrvxp
　　DefWatch
　　KPfwSvc
　　KWatchSvc
　　RavMon.exe
　　RavMonD.exe
　　...

　　并可关闭自动更新和Windows自带的防火墙

　　木马和病毒植入完毕以后 sreng日志如下

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            []
            []
            []
            []
            []
            []
            [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
            []
            [N/A]
            [N/A]
            [N/A]
            [N/A]
            [N/A]
            [N/A]
            [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
            []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{E418E9ED-9221-4661-B1F3-4AA35BD83832}>     []
       <{2960356A-458E-DE24-BD50-268F589A56A2}>     []
==================================
服务
[Telephots google / Windowsms][Stopped/Auto Start]
    
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
    
            []
==================================
正在运行的进程
[PID: 3084][C:\WINDOWS\explorer.exe]     [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
       [C:\WINDOWS\system32\avwlbmn.dll]     [N/A, ]
        [C:\WINDOWS\system32\LYMANGR.DLL]     [N/A, ]
       [C:\WINDOWS\system32\DiskMan32.dll]     [N/A, ]
       [C:\WINDOWS\system32\mppds.dll]     [N/A, ]
       [C:\WINDOWS\system32\thjphl.dll]     [N/A, ]
       [C:\WINDOWS\system32\bxtmaz.dll]     [N/A, ]
       [C:\WINDOWS\system32\MsIMMs32.dll]     [N/A, ]
       [C:\WINDOWS\system32\tojdcs.dll]     [N/A, ]
       [C:\Program Files\Internet Explorer\PLUGINS\WinSys88.Sys]     [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
       C:\WINDOWS\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
       C:\WINDOWS\system32\qdshm.dll(, N/A)
...

　　手动清除办法：

　　一、清除病毒主程序
　　down.wd1x.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)

　　打开sreng
　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

　　Telephots google / Windowsms

　　重启计算机
　　使用冰刃删除如下文件
　　%system32%\servver.exe
　　以及各个分区下的autorun.inf和servver.exe

　　二、清除木马
　　以前写的好多了，这里不再赘述。
　　具体方法参考之前的auto.exe的木马群的查杀
　　以及随机7位字母的dll木马群的查杀方法

　　三、下载威金专杀修复受感染的exe文件

　　四、down.wd1x.com下载iframekill.rar修复受感染的htm文件