病毒名称：Trojan.DL.Agent.ncd（rising报毒名称）      样本名字：小心有鬼.txt.exe,文件图标是记事本图标
　　病毒大小：216,379 字节(原始样本)
　　加壳方式：()
　　MD5：55A7929CBA30824EFE8AFC6F35D4FB14
　　SHA1：E403D50B0267F4770666408EC10E5CA56CB07A1F

　　该病毒首先在用户桌面上生成 1.exe/小心有鬼.pif(病毒副本) 和 小心有鬼，胆小勿看.txt（文本文件，内容为：

　　恭喜你中毒了，呵呵！！！！！！）

　　将自身释放到系统目录（替换系统文件）
    　C:\WINDOWS\system32\severe.exe
    　C:\WINDOWS\system32\tgejsy.exe
    　C:\WINDOWS\system32\drivers\cwyumh.exe（替换系统文件）
    　C:\WINDOWS\system32\drivers\conime.exe（替换系统文件）

　　生成下面两个文件
　　C:\WINDOWS\system32\tgejsy.dll
　　C:\WINDOWS\system32\hx1.bat

　　利用U盘传播：
　　X:\OSO.exe
　　X:\autorun.inf

　　修改注册表键值：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = 0（建议改为1）

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
　　"cwyumh" = %SYSTEM%\TGEJSY.EXE
　　"tgejsy" = %SYSTEM%\SEVERE.EXE

　　SYSTEM.INI\BOOT
　　"SHELL" = EXPLORER.EXE %SYSTEM%\DRIVERS\CONIME.EXE

　　修改 C:\WINDOWS\system32\drivers\etc\hosts 文件，以阻止中毒用户访问安全论坛或升级安全软件，添加以下内容（需手动删除）
　　127.0.0.1         mmsk.cn
　　127.0.0.1         ikaka.com
　　127.0.0.1         safe.qq.com
　　127.0.0.1         360safe.com
　　127.0.0.1       www.mmsk.cn
　　127.0.0.1       www.ikaka.com
　　127.0.0.1         tool.ikaka.com
　　127.0.0.1       www.360safe.com
　　127.0.0.1         zs.kingsoft.com
　　127.0.0.1         forum.ikaka.com
　　127.0.0.1         up.rising.com.cn
　　127.0.0.1         scan.kingsoft.com
　　127.0.0.1         kvup.jiangmin.com
　　127.0.0.1         reg.rising.com.cn
　　127.0.0.1         update.rising.com.cn
　　127.0.0.1         update7.jiangmin.com
　　127.0.0.1         download.rising.com.cn
　　127.0.0.1         dnl-us1.kaspersky-labs.com
　　127.0.0.1         dnl-us2.kaspersky-labs.com
　　127.0.0.1         dnl-us3.kaspersky-labs.com
　　127.0.0.1         dnl-us4.kaspersky-labs.com
　　127.0.0.1         dnl-us5.kaspersky-labs.com
　　127.0.0.1         dnl-us6.kaspersky-labs.com
　　127.0.0.1         dnl-us7.kaspersky-labs.com
　　127.0.0.1         dnl-us8.kaspersky-labs.com
　　127.0.0.1         dnl-us9.kaspersky-labs.com
　　127.0.0.1         dnl-us10.kaspersky-labs.com
　　127.0.0.1         dnl-eu1.kaspersky-labs.com
　　127.0.0.1         dnl-eu2.kaspersky-labs.com
　　127.0.0.1         dnl-eu3.kaspersky-labs.com
　　127.0.0.1         dnl-eu4.kaspersky-labs.com
　　127.0.0.1         dnl-eu5.kaspersky-labs.com
　　127.0.0.1         dnl-eu6.kaspersky-labs.com
　　127.0.0.1         dnl-eu7.kaspersky-labs.com
　　127.0.0.1         dnl-eu8.kaspersky-labs.com
　　127.0.0.1         dnl-eu9.kaspersky-labs.com
　　127.0.0.1         dnl-eu10.kaspersky-labs.com

　　解决方法：

　　1.下载IceSword1.20（http://www.motoyi.com/Down/Noted/200704/Down_10.shtml）删除以下文件：

    　C:\WINDOWS\system32\severe.exe
    　C:\WINDOWS\system32\tgejsy.exe
   　 C:\WINDOWS\system32\drivers\cwyumh.exe（此处替换系统文件）
   　 C:\WINDOWS\system32\drivers\conime.exe（此处替换系统文件）
　　C:\WINDOWS\system32\tgejsy.dll
　　C:\WINDOWS\system32\hx1.bat：
　　X:\OSO.exe
　　X:\autorun.inf

　　2.开始菜单－运行－输入“Regedit”打开注册表编辑器依次打开以下选项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = 0（建议改为1）

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
　　"cwyumh" = %SYSTEM%\TGEJSY.EXE（此处删除）
　　"tgejsy" = %SYSTEM%\SEVERE.EXE（此处删除）

　　SYSTEM.INI\BOOT
　　"SHELL" = EXPLORER.EXE %SYSTEM%\DRIVERS\CONIME.EXE（此处删除）

　　3.打开C:\WINDOWS\system32\drivers\etc\hosts，删除分析中提到的劫持