昨天收到tiandiz2000的邮件，他在信中提到：

我在网上下了一个"历年真题.EXE",一执行就死机, 重启后,用户密码被修改,进不了系统.          用另外用户登录进去后,双击驱动器盘符,又死机,针对此现像,我在D和E盘根目录发现了二个病毒文件autorun.inf和svchost.exe.另: 病毒会修改注册表,让"显示隐藏文件"无效.

字串6

并将病毒打包好发给了我。 字串2

解压后发现金山没有报警，tiandiz2000的麦咖啡也没有报警，看来是个免杀的东东。不过用PEID分析，返回了Nothing found，查不出看什么壳。但是反汇编发现并不像加了壳，应该是C++编写的。简单对病毒分析了一下（许多朋友不知道应该怎么分析程序，这里简单提示一下，这个过程跟破解软件差不多——至少我觉得是这样，也是这样去做的，只不过还有一些自己的技巧和经验而已。但是汇编水平还是太差，API也记不太多。另外一种方法是给机器安装上影子系统，并用regmon、regsnap、filemon、网络监视工具等.监视病毒操作，然后进行分析）：

字串5

tiandiz2000给我的文件有三个：历年真题.EXE、autorun.inf、svchost.exe

字串2

其中“历年真题.EXE”与“svchost.exe”相同。用IDA分析一下看到它对电脑进行了如下操作：

注册表的添加键值如下：

Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden,1 字串5

Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden,0

字串7

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue,0
NeverShowExt,1
exefile,0
chm.file,0
SYSTEM\MicroSoft\U7070,0

字串3

SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\
*\shell\刷新(&F)\command,svchost.exe

并在各磁盘根目录添加autorun.inf文件，里面内容为： 字串7

字串9

open=svchost.exe
shell\open=Open(&O)
shell\open\Command=svchost.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=svchost.exe 字串9

执行cmd命令： 字串1

 Administrator FREEDOM

字串4

更改Administrator管理员用户的密码为FREEDOM 字串5

添加注册表项更改windows登录提示：
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
LegalNoticeCaption,Scharz Adler Notice:
LegalNoticeText,里面的内容如下：(呵呵，作者Scharz Adler挺屌！) 字串1

1.以此病毒纪念7.7事变70周年! 字串4

2.振兴中华,从我做起! 坚决抵制盗版! 字串6

3.盗版猖獗,危害国家! 爱国者不用盗版!

4.请使用正版Windows! Windows是最优秀的操作系统! 字串5

5.请使用正版杀毒软件! 字串1

6.请订阅＜＜电脑报＞＞学习计算机使用技巧!减少中毒概率! 字串3

Scharz Adler , Silent Hunter!

字串2

字串7

覆盖或添加病毒副本到如下位置及各盘根目录(每3e8h扫描一次，即1秒):

字串2

\system32\UDiskDrive.exe
\system32\winlogon.exe
\system32\U7070蠕虫杀毒方法.exe
x:\svchost.exe
x:\autorun.inf

字串7

监视.exe.chm.url.gho文件，当运行时会出现： 字串2

系统提示：
打开错误!
文件与系统不兼容或文件损坏 字串1

以上就是我对此软件的分析，由于没有采用动态分析，而且汇编知识有限，不知道有没有分析到位。这里仅给大家一个参考！如果有该症状的请采取对应方式进行杀毒。 字串9