csrss.exe,wsock32.dll,绿化.bat清除

csrss.exe,wsock32.dll,绿化.bat是一个具有多种传播功能和反杀毒软件功能的下载者病毒，传播方式新颖独特，需要严密防范！下面是该病毒的详细分析报告：

病毒初始化过程：
1.创建一个互斥量：中华吸血鬼2.2
2.删除SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
3.释放如下副本或文件：
%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
%systemroot%\Tasks\wsock32.dll
4.之后创建很多线程，执行多种病毒功能：

(1)通过GetWindowTextA函数获得窗口标题，并比较是否含有如下字样
如果含有则使用PostMessage函数会发送消息给他们：
首先发送一个WM_Destroy，之后发送两个WM_Close 最后发一个WM_Destroy 的消息。并把窗口标题名保存下来。
之后会调用Messageboxa函数弹出一个标题为"Windows盗版验证为"的窗口
并显示如下字样“安全提示：您正在使用的(刚刚获得的窗口标题名称)是盗版软件，可能您是盗版软件的受害者，为了给合法用户提供保证，我们无法继续给您提供服务，请到指定销售商购买我们的正版软件,如果有任何疑问,请到我们微软主页查看http://www.microsoft.com”

(2) 破坏冰刃
查找类名为Afxcontrolbar423s的窗口
然后发送WM_Close关闭 再模拟键盘输入按一下回车键

(3) U盘传播功能
检测可移动存储中是否有autorun.inf文件，如果有将其改名
之后向里面写入autorun.inf
创建recycle.{645FF040-5081-101B-9F08-00AA002F954E}文件夹，在该文件夹内写入GHOSTBAK.exe（病毒文件）

(4) 病毒感染统计
搜集被感染主机的mac地址，并把被感染主机的mac地址和感染的病毒版本发送给http://www.*******.cn/tj/ct.asp页面

(5) 修改hosts文件
获得%programfiles%的环境变量，接着查找[url=file://drivers/etc//hosts]\\drivers\etc\\hosts[/url]文件
每1秒循环一次

(6) 遍历进程，调用Terminate Process函数结束如下进程：
AST.exe
360tray.exe
ast.exe
FWMon.exe
(7) 遍历磁盘文件删除扩展名为gho,GHO,Gho的文件
(8) arp欺骗功能
获取本机IP地址 然后把所在同网段内的.2~.255的机器作为欺骗对象
由系统目录下的arps.com执行%s -idx 0 -ip %s -port 80 -insert \"%s的命令 对局域网内机器进行arp欺骗

(9) 局域网弱密码猜解传播
以administrator为用户名，对局域网中其他机器进行密码猜解。如果成功则复制到对方机器的共享的C,D,E,F盘中，以hackshen.exe

(10)删除HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings键
释放一个hackchen.vbs到%systemroot%\Tasks
hackchen.vbs内容：
On Error Resume Next
Set rs=createObject("Wｓｃｒｉｐｔ.shell")
rs.run "%windir%\Tasks\csrss.exe",0
并且注册HKLM\SOFTWARE\Microsoft\Active Setup\Installed
Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK}
指向%systemroot%\Tasks\hackchen.vbs
(11)
病毒自动更新功能。在系统目录下释放meupdate.ini文件，并且和http://www.*******.cn/22.txt做比较，如果不同则下载http://www.*******.cn/server.exe（最新版病毒程序）到c:\_default.pif，并且每600ms执行一次

(12)通过查找%ProgramFiles%的环境变量获得程序文件夹路径，之后查找[url=file://winrar//Rar.exe]\\WinRAR\\Rar.exe[/url]获得winrar安装路径。
遍历所有分区的.rar,.zip,.tgz,.cab,.tar文件 找到后
后台调用winrar执行"（winrar路径）" -ep a "（找到的rar等文件路径）" %systemroot%\Tasks\绿化.bat 命令
将绿化.bat压缩进压缩包，绿化.bat即为病毒本身，诱使用户点击中毒。
(13)（此方法十分新颖）
遍历所有文件夹并且将%systemroot%\Tasks\wsock32.dll 复制到每个文件夹下
当该文件夹下的exe文件的导入表含有wsock32.dll的时候，会首先调用同文件夹下的wsock32.dll，也就是病毒释放的文件。此时会从下载http://www.*******.cn/server.exe（病毒最新版本）并执行！！！
(14)
查找某些类名为#32770的窗口，并且试图发送"我做了快一个月了,每天2个小时有40-50元的收入,你也来看看吧,长期大量招聘网络兼职http://www.*******.cn/jianzhi.htm"的消息给对方(应该是通过QQ之类的聊天工具传播)
(15) 遍历非系统分区的html,aspx，htm等文件 写入iframe代码

(16)下载木马功能
下载http://www.*******.cn/ft/qq.exe
http://www.*******.cn/cj/qq.exe
并执行

清除方法不作赘述，安全模式下清理所有文件夹下的wsock32.dll，
并利用工具清理%systemroot%\Tasks\绿化.bat
%systemroot%\Tasks\csrss.exe
并打开所有压缩包文件 删除里面的绿化.bat。
最后使用杀毒软件全盘杀毒
这也是一个浩大的工程吧~~
综观此病毒有很多新颖之处，首先是在关闭杀软之后弹出窗口，容易给不知情者以迷惑；其次病毒释放的wsock32.dll会使得任意该目录下的exe文件成为下载病毒文件的傀儡；再次由于windows的某些保护，tasks目录下的文件无法直接看到，这又给病毒了一个绝佳的藏身之地；最后，病毒还会将自己压缩到压缩包中，起一个诱惑的名字诱使用户再次中毒。