lsass.exe样本由“超级游戏迷”版主上传；其MD5值为：a9c9901e7c9257aa263bcf3c417ca98b。

其行为符合“病毒下载器”。瑞星20.54.51不报毒。


此毒特点：
1、病毒运行后，在drivers目录下释放ntdapi.sys。此驱动加载后即刻删除自身；SSDT被完全恢复，瑞星、tiny监控完全实效。
2、lsass.exe访问网络，下载大量病毒。其中包括c:\windows\system32\drivers\hbkernel.sys和c:\windows\system32\d32dx9.sys两个难杀的驱动。
3、所有病毒下载完成后，大量病毒dll、dat插入多个应用程序模块运行。中毒用户运行SRENG、windows清理助手等工具－－－即刻被删除。但IceSword和autoruns不受此毒影响。XP专业版的“软件限制策略”依然可用。


autoruns日志所见异常如下：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run                 
+ HBmhly                        c:\windows\system32\hbmhly.exe
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components                 
+ n/a                        c:\windows\system32\xllylqait\lsass.exe
+ n/a                        c:\windows\system32\vsk\lsass.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks                 
+ adsntzt.dll                        c:\windows\system32\adsntzt.dll
+ apsghjba.dll                        c:\windows\system32\apsghjba.dll
+ apzhdtde.dll                        c:\windows\system32\apzhdtde.dll
+ bootvidgj.dll                        c:\windows\system32\bootvidgj.dll
+ ddserh.dll                        c:\windows\system32\ddserh.dll
+ dispexcb.dll                        c:\windows\system32\dispexcb.dll
+ dpvvoxmh.dll                        c:\windows\system32\dpvvoxmh.dll
+ fmcvxy.dll                        c:\windows\system32\fmcvxy.dll
+ jfrwdh.dll                        c:\windows\system32\jfrwdh.dll
+ lweurqhx.dll                        c:\windows\system32\lweurqhx.dll
+ msobjstl.dll                        c:\windows\system32\msobjstl.dll
+ mstimewd.dll                        c:\windows\system32\mstimewd.dll
+ windows64.sys                        c:\program files\internet explorer\plugins\windows64.sys
HKLM\System\CurrentControlSet\Services                 
+ HBKernel                        c:\windows\system32\drivers\hbkernel.sys
+ HiddFldy                        c:\windows\system32\d32dx9.sys
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls                 
+ jolin0.dll                        c:\windows\system32\jolin0.dll
+ msspcyn.dll                        c:\windows\system32\msspcyn.dll
+ myusemt.dll                        c:\windows\system32\myusemt.dll
+ soeehy.dll                        c:\windows\system32\soeehy.dll
+ tennfs.dll                        c:\windows\system32\tennfs.dll
+ wcnonpe.dll                        c:\windows\system32\wcnonpe.dll
+ welyri.dll                        c:\windows\system32\welyri.dll
+ woswelc.dll                        c:\windows\system32\woswelc.dll
+ ytfa.dll                        File not found: ytfa.dll
+ ytfb.dll                        File not found: ytfb.dll
+ ytfc.dll                        File not found: ytfc.dll
+ zsqf.dll                        c:\windows\system32\zsqf.dll

手工杀毒流程见图1－图3。
注意：
1、设置软件限制策略路径规则前，须先在“指派的文件类型”中添加DLL、SYS、DAT、NLS等文件类型，并在“强制”属性中勾选“所有软件”。否则，本帖介绍的利用软件限制策略的手工杀毒流程无效。

 
2、在不同的电脑中，病毒主程序lsass.exe所在目录名有所不同（此目录名是病毒自己建立的）。我的电脑中，病毒lsass.exe所在目录名为：
c:\windows\system32\xllylqait\
c:\windows\system32\vsk\

3、c:\windows\system32\目录下的那个zuwugcf.dll文件名也随不同的电脑而异。我的本本中运行过此毒的3个不同变种，但这个dll文件名一直保持为zuwugcf。同一台电脑中，注册表中其相应的服务名也不变。











用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

这病毒真残

返朴归真！猫版对自己一年前所钟情的那些安全工具越来越用的少了，而对微软本身就有的种种工具越来越用的多了！
无论什么工具到了你老猫的手上都被使得出神入化的境地。
害的俺们一群菜鸟总在你后面转，以为“猫叔”用的工具就定是顶尖的，最好的。


顺便弱弱的问一句，第2幅截图取自WINRAR的？windows xp的回收站？还是别的什么的？

第一段文字是自己手工一词一词敲出来的，还是Autoruns有这类的日志转储功能？有的话在哪，我怎么过去没寻到?(好久没用过Autotuns了）

所有图都是SnagIt 8 截取的（滚屏截取）。第二幅图是回收站内容。

PS：谁都想用最好、最省事的工具。写这个帖子，模拟了一下最惨的情景：敞开系统大门，放病毒长驱直入。
这样，原来用的顺手的工具不能用了。只好另想办法。
这有点儿像下棋－－－－－在几乎被对手将死的情况下反败为胜。

感谢baohe出手，学习了

感谢baohe出手，学习了

这个最终是要和木马群结合的，意料之中的事了。

我个人估计，不到半年，它的变种应该能够删除冰刃的了。以及删除Windows系统自身的组策略的。

若要搞怪，其实也用不着删除Windows系统自身的组策略。目前已有替换mmc.exe的病毒（病毒mmc.exe进程无法终止；若强行替换病毒mmc.exe，下次开机无法进入系统）。中招后，gpedit.msc根本无法运行（提示：另一程序正在使用本文件）。

看护好自己系统的重要目录、有效遏制病毒驱动创建/加载是不可忽视的安全措施。