瑞星卡卡安全论坛

刚在在瑞星知道http://zhidao.ikaka.com/Aspx/Html/StaticHtml/316/316359.html贴里遇到的一个问题 。
里面有一个压缩文件，用瑞星直接对压缩包扫描没有一点问题。
当我进行安装测试时，第一次安装失败了，提示如下：

 附件: 您所在的用户组无法下载或查看附件

第二次进行安装，提示有木马，如下图

 附件: 您所在的用户组无法下载或查看附件

我觉得这个病毒伪装的有点高级，想对病毒文件分析一下，可自己也不懂。就在此和大家分享一下，希望懂病毒分析的前来分析并分享经验。

下面附件是病毒文件的压缩包。里面是木马。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

附件: 新建+WinRAR+压缩文件.rar

1.bat
00000: Reg Add  "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /t "REG_DWORD" /d "1" /f
00001: Reg Add  "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v "{871C5380-42A0-1069-A2EA-08002B30309D}" /t "REG_DWORD" /d "1" /f
00002: Set "TMPINF=C:\TmpInf.inf"
00003: echo [Version] >%TMPINF%
00004: echo Signature="$Windows NT$" >>%TMPINF%
00005: echo [DefaultInstall] >>%TMPINF%
00006: RUNDLL32
00007: SETUPAPI.DLL,InstallHinfSection
00008: DefaultInstall 128 %TMPINF%
00009: del %TMPINF%

不错，还帮忙装了个彪悍的浏览器

附件: 衍生物.rar

建议你通过路径找到文件，将其彻底删除

你写的我看得不太懂，前两句代码好像是添加注册表项，后面的就不知道什么意思了。

创建文件 C:\Program Files\Internet Explorer\1.bat
推广的母网站是liulanqi.cc:kaka6:
恶意推广程序