本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
获取当前进程，把进程权限提升为"SeDebugPrivilege"。 获取原始的SSDT服务函数。 打开atapi.sys，通过搜索指令的方法获取以下五个Irp_Major处理例程：

行为分析：
这是一个类似于机器狗的木马下载器。它会尝试用修改系统时间、解除主动防御、结束进程等方式，破坏多款安全软件的正常运行，然后下载大量的木马程序。

描述：
获取当前进程，把进程权限提升为"SeDebugPrivilege"。



获取原始的SSDT服务函数。



打开atapi.sys，通过搜索指令的方法获取以下五个Irp_Major处理例程：

IRP_MJ_DEVICE_CONTROL

IRP_MJ_INTERNAL_DEVICE_CONTROL

IRP_MJ_POWER

IRP_MJ_SYSTEM_CONTROL

IRP_MJ_PNP



病毒自身实现了GetTickCount这个API函数。



设置系统年份为2000年。



把病毒自身的两段加密的数据进行解密操作。一段数据是生成驱动文件的，另一段是写入\.PhysicalDrive0的(该段数据用于创建线程下载其它木马程序)。



创建并启动服务，服务的文件为刚创建的驱动文件。



结束系统上如下进程:ravmon.exe、ravmond.exe、ccenter.exe、360SafeBox.exe、360tray.exe、safEboxtray.exe、kavstart.exe、kissvc.exe、ccsvchst.exe。



分别打开explorer.exe和\.PhysicalDrive0，计算explorer.exe在\.PhysicalDrive0的位置，把之前解密后的第二段数据(负责下载其它木马)写入。



创建iexplore.exe进程，把写入explorer.exe的代码创建一个远程线程下载其它木马。



远程线程通过使用socket从http:/ /w**a.xst2.cn/4256.txt下载4256.txt文件至%Temp%目录下。然后读取%Temp%目录下的4256.txt读取其它木马的下载地址，下载并创建进程运行。

dx.s**tt.cn/ok.exe

dx.s**tt.cn/arp.exe

dx.s**tt.cn/down/wow.exe

dx.s**tt.cn/down/my.exe

dx.s**tt.cn/down/wd.exe

dx.s**tt.cn/down/tl.exe

dx.s**tt.cn/down/q3.exe

dx.s**tt.cn/down/jx.exe

dx.s**tt.cn/down/cs.exe

dx.s**tt.cn/down/zyhx.exe

dx.s**tt.cn/down/mxd.exe

dx.s**tt.cn/down/jr.exe

dx.s**tt.cn/down/zx.exe

dx.s**tt.cn/down/qhx.exe

dx.s**tt.cn/down/zt.exe

dx.s**tt.cn/down/cq.exe

dx.s**tt.cn/down/wl.exe

dx.s**tt.cn/down/jh.exe

dx.s**tt.cn/down/dj.exe

dx.s**tt.cn/down/zf.exe

dx.s**tt.cn/down/cb.exe

dx.s**tt.cn/down/qn3.exe

dx.s**tt.cn/down/dh3.exe

dx.s**tt.cn/down/dh2.exe

Dx.***t.cn/down/mh.exe