公布一个硬盘杀手的分析报告

这个东东不是新货了，最近发现受害者在增多，严重的是这个病毒破坏的硬盘数据，很难修复，有必要公布这个病毒的更多细节。

病毒名：Win32.Troj.Small.cf.40960

该病毒是一个硬盘杀手。该病毒会向硬盘分区的各分区起始扇区写入垃圾数据破坏硬盘，给破坏的硬盘数据很难恢复。建议中毒用户若有重要数据要恢复应求助于专业数据恢复机构，不要试图自行恢复，以免造成不可挽回的损失。

1、生成的文件
%documents and settings%\%user%\lsass.exe
%documents and settings%\All Users\lsass.exe
%system_volume%\system_volume\lsass.exe
%system_volume%\system_volume\desktop.ini

2、非系统盘里添加autorun.inf启动
-------------------------------------
[autorun]
open=.\system_volume\system_volume\lsass.exe
shell\1=Sb_&
shell\1\command=.\system_volume\system_volume\lsass.exe
shell\2=
shell\2\command=.\system_volume\system_volume\lsass.exe
shellexecute=.\system_volume\system_volume\lsass.exe
-------------------------------------

3、病毒不停的设置隐藏属性，是系统总是不显示隐藏文件
HKCU\software\microsoft\windows\currentversion\explorer\advanced
"hidden" = "0x2"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden" = "0x0"

4、该病毒在系统中安装一类型为：WH_MSGFILTER消息钩子。

5、该病毒会运行tskill.exe和ntsd.exe命令结束下列名称进程
kvmonxp.kxp
shstat.exe
ravmon.exe
avp.exe