我们以前曾经提过，某些不怀好意的人将木马捆绑进艳照门的相关照片中传播，也有的在相关照片下载网站植入木马。最近，金山毒霸全球反病毒监测中心监测到另一种利用“艳照门”主角照片传播的病毒正在加速传播。该病毒是一个木马下载器，会通过U盘、移动硬盘传播，同时会通过QQ聊天窗口发送病毒文件。该病毒的这些特点，很可能导致短期内传播量加剧。

    病毒特点

    该病毒通过给 QQ 好友发送“陈冠希原版相片.rar”来进行传播，自身通过镜项劫持安全软件和在驱动器下建立 autorun.inf 来自启动，并下载 40 多种病毒木马。结束安全软件进程，并修改系统时间。修改注册表破坏安全模式登录，影响显示隐藏文件。

    病毒分析

    1.创建自动运行文件，在各磁盘根目录会发现explorer.pif 和autorun.inf文件

    2.尝试关闭以下安全软件的进程

    Safe.exe； 360tray.exe；VsTskMgr.exe；Runiep.exe；RAS.exe；UpdaterUI.exe；TBMon.exe； KASARP.exe；scan32.exe；VPC32.exe；VPTRAY.exe；ANTIARP.exe；KRegEx.exe； KvXP.kxp；kvsrvxp.kxp；kvsrvxp.exe；KVWSC.EXE；Iparmor.exe；AST.EXE

    3.向QQ聊天窗口发送陈冠希原版相片.rar的病毒文件，该压缩包充分利用了社会工程学原理进行欺骗，双击就会中招。
 
    4.修改系统时间为2002年

    5.尝试停止安全软件的服务

    6.将自身拷贝到"C:\WINDOWS\system32\wuauc1t.exe"，并将属性改为系统隐藏。

    7.通过http://www.***.com/下载大量盗号木马

    8.修改"SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall\"的 CheckedValue项改为 0（默认为１），破坏显示隐藏的系统文件

    9.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal \，来破坏安全模式，导致无法启动系统到安全模式来杀毒。

    10.映像劫持以下安全软件为

    "C:\WINDOWS\system32\wuauc1t.exe"，使得运行以下软件时，实际执行的是病毒程序。360rpt.EXE； 360safe.EXE；360tray.EXE；AVP.EXE；AvMonitor.EXE；CCenter.EXE；IceSword.EXE； Iparmor.EXE；KVMonxp.kxp；KVSrvXP.EXE；KVWSC.EXE；Navapsvc.EXE；Nod32kui.EXE； KRegEx.EXE；Frameworkservice.EXE；Mmsk.EXE；Wuauclt.EXE；Ast.EXE； WOPTILITIES.EXE；Regedit.EXE；AutoRunKiller.exe；VPC32.exe；VPTRAY.exe； ANTIARP.exe；KASARP.exe；QQDOCTOR.EXE

    解决办法

    1.使用进程管理器关闭 IEXPLORE.EXE、wuauc1t.exe、explorer.pif进程。

    2.将金山清理专家主程序KASMAIN.EXE重命名，再执行。然后修复镜项劫持、安全模式、和隐藏文件选 项

    3.删除以下文件：

    %windir%\system32\wuauc1t.exe
    %TempPath%\ 陈冠希 原 版 相片 .rar
    c:\sys.pif
    c:\1'40.pif
    %windir%\system32\syurl.dll
    各驱动器下的explorer.pif和 autorun.inf