最近有很多人中了这个“禽兽”病毒，之所以叫做“禽兽”病毒是因为病毒运行后，文件夹选项中隐藏文件的文字内容被修改成了“禽兽尚且有半点怜悯之心，而我一点没有，所以我不是禽兽。”

这个病毒其实就是原先分析的niu.exe的变种,不过此次变种变化巨大增加了很多新的“功能”,中毒者在禽兽病毒和其他一些木马的“帮助”下系统将完全处于无保护的状态.在没有任何工具的情况下救活系统的可能性几乎为0

此病毒的几大罪状如下：

1.破坏安全模式禁用系统的一些自我保护功能（自动更新，防火墙等）

2.IFEO映像劫持杀毒软件以及常用安全工具

3.禁用任务管理器

4.修改主页

5.关闭带有“杀毒”等字样的窗口

6.感染html等网页文件

7.删除gho文件，使用户无法还原系统

8.U盘传播

9.疯狂下载多种木马和流氓软件（多达20多种木马）

下面是病毒的具体分析

1.释放如下文件：

%system32%crsss.exe

在每个分区下面生成autorun.inf和niu.exe

2.调用reg.exe进行如下操作：

添加自身启动项目

ADDHKLMSOFTWAREMicrosoftWindowsCurrentVersionRun/Vcrsss/TREG_SZ/D

禁用windows自动更新

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate/vDisableWindowsUpdateAccess/tREG_dword/d00000001/f

禁用任务管理器

addHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem/vDisableTaskMgr/tREG_dword/d00000001/f

破坏显示隐藏文件并将选项名称改为“禽兽尚且有半点怜悯之心,而我一点没有,

所以我不是禽兽”

deleteHKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL/f

addHKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN/vText/tREG_SZ/d禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽./f

破坏安全模式

deleteHKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}/f

deleteHKLMSYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}/f

deleteHKLMSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}/f

deleteHKLMSYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}/f

3.向HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions下面添加如下映像劫持项目指向%system32%crsss.exe（篇幅所限，仅贴图）

当前1/2页12下一页阅读全文