病毒名称： Troja.Win32.Servill.hd[Downloader]
病毒类型： 木马下载器

该恶意代码文件为木马下载器，病毒运行创建互斥量名为“ffgfgh”防止病毒多次运行，后动态加载ADVAPI32.DLL并分别获取该系统库中的OpenSCManagerA、OpenServiceA、ControlService、CloseServiceHandle函数，调用该函数打开服务管理器，调用OpenServiceA函数打开wscsvc防火墙的服务，调用ControlService函数关闭防火墙服务及句丙，遍历进程查找多款安全软件进程，如有则调用"taskkill"命令将其进程强行结束，创建病毒注册表服务、添加注册表映像劫持，衍生随即病毒名病毒文件到系统目录和临时目录下连接网络下载大量病毒文件，病毒运行完毕后删除自身。

行为分析-本地行为


1、病毒运行创建互斥量名为“ffgfgh”防止病毒多次运行，后动态加载ADVAPI32.DLL并分别获取该系统库中的OpenSCManagerA、OpenServiceA、ControlService、CloseServiceHandle函数，调用该函数打开服务管理器，调用OpenServiceA函数打开wscsvc防火墙的服务，调用ControlService函数关闭防火墙服务及句丙

2、文件运行后会释放以下文件
%System32%\was3v.exe （随机病毒名）
%Documents and Settings%\当前所在用户\Local Settings\Temp\~32964.exe （随机病毒名）

3、添加注册表映像劫持、创建病毒服务项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\egui.exe\Debugger
值: 字符串: "services.exe"
描述：添加映像劫持
www.newjian.com
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vb\DisplayName
值: 字符串: "vb"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vb\ImagePath
值: 字符串: "\??\C:\DOCUME~1\当前所在用户\LOCALS~1\Temp\~32964.ex.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vb\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vb\Type
值: DWORD: 1 (0x1)
描述：添加病毒服务项

4、遍历进程查找以下安全软件进程，如有则调用"taskkill /f /im 进程名 "命令将其进程强行结束
ekrn.exe、egui.exe、360tray.exe、safeboxtray.exe、avp.exe

行为分析-网络行为


协议：TCP
端口：80
连接IP地址：59.34.216.**
域名：http://txt.ho***.com/xx.txt
描述：连接以上地址下载病毒文件

清除方案

手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，（1）先打开Atool工具结束病毒进程
www.newjian.com
（2）强行删除病毒衍生的文件
%System32%\was3v.exe （随机病毒名）
%Documents and Settings%\当前所在用户\Local Settings\Temp\~32964.exe （随机病毒名）

（3）删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\egui.exe\Debugger
删除Image File Execution Options键下的egui.exe键值

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vb
删除Services键下的VB键值