adfbaa.exe，beep.sys ，pcxyqr.sys等木马删除

病毒描述：
　　该病毒下载者木马类，病毒运行之后调用API函数GetSystemDirectoryA获取系统目
录，在%System32%目录下创建病毒文件adfbaa.exe（随机病毒名），调CreateProcessA
创建病毒进程，遍历进程查找是否存在以下进程名：GuardField.exe、conime.exe、
wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行
结束以上进程，调用LoadLibraryA函数加载SFC.DLL文件，释放批处理文件到%temp%临时
目录下，将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，
释放驱动文件恢复SSDT使卡巴主动防御失效，衍生的adfbaa.exe行为分析：释放驱动文件
过pcxyqr.sys，摘掉钩子使卡巴主动防御完全失效，创建病毒服务，添加注册表映像劫持，
遍历进程查找“drvanti.exe”驱动防火墙进程，如找到则调用API函数
TerminateProcess强行结束该进程，连接网络读取TXT列表下载大量恶意文件，经分析下
载的大量文件均为盗号木马，给用户清理代理及大的不便。

行为分析：
本地行为：

1、文件运行后会释放以下文件：

　　　　%System32%\adfbaa.exe（随机病毒名） 　　　　39,979 字节
　　　　%System32%\drivers\beep.sys 　　　　　　　 16,256 字节
　　　　%System32%\drivers\pcxyqr.sys 　　　　　　　3,328 字节

2、创建注册表病毒服务：

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\qabpxy\DisplayName]
　　　　注册表值: "DisplayName"
　　　　类型： REG_SZ
　　　　值："qabpxy"
　　　　描述: 服务名称

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\qabpxy\ErrorControl]
　　　　注册表值: "ErrorControl"
　　　　类型： REG_SZ
　　　　值："DWORD: 0 (0)"
　　　　描述: 服务控制

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\qabpxy\ImagePath]
　　　　注册表值: "ImagePath"
　　　　类型： REG_SZ
　　　　值："\??\C:\DOCUME~1\a\LOCALS~1\Temp\_tmp.bat"
　　　　描述: 服务映像文件的启动路径

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\qabpxy\Start]
　　　　注册表值: "Start"
　　　　类型： REG_SZ
　　　　值："DWORD: 3 (0x3)"
　　　　描述: 服务的启动方式，自动

　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　\Services\qabpxy\Type]
　　　　注册表值: "Type"
　　　　类型： REG_SZ
　　　　值："DWORD: 1 (0x1)"
　　　　描述: 服务类型

3、通过注册表映像劫持多款安全软件：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows NT\CurrentVersion\Image File Execution Options
　　　　\被映像劫持的文件名称]
　　　　注册表值： "Debugger"
　　　　类型： REG_SZ
　　　　字符串："ntsd -d"

　　　　 劫持文件名列表：
　　　　360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、
　　　　 adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、
　　　　 avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
　　　　 avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、
　　　　 FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、
　　　　 HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、
　　　　 isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、
　　　　 KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
　　　　 KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
　　　　 KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、
　　　　 KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、
　　　　 KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、　　　　
　　　　 kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、　　　　
　　　　 KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、　　　　
　　　　 KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、
　　　　 MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、　　　　
　　　　 Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、　　　　
　　　　 nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、　　　　
　　　　 PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、
　　　　 QQDoctor.exe、QQKav.exe、Ras.exe、RavMonD.exe、
　　　　 RavStub.exe、RawCopy.exe、RegClean.exe、RegTool.exe、
　　　　 rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、
　　　　 rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、
　　　　 safebank.exe、safeboxTray.exe、safelive.exe、scan32.exe、
　　　　 shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
　　　　 SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
　　　　 UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、
　　　　 UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
　　　　 webscanx.exe、WinDbg.exe、WoptiClean.exe

4、遍历进程查找是否存在以下进程名：GuardField.exe、conime.exe、wuauclt.exe、
　 spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上
　 进程。

5、调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的
　 beep.sys文件删除，并创建一个同名的文件，释放驱动文件babopx.sys恢复SSDT
　 使卡巴主动防御失效。

6、衍生的adfbaa.exe行为分析：释放驱动文件过pcxyqr.sys，摘掉钩子使卡巴主动防
　 御完全失效，创建病毒服务，添加注册表映像劫持，遍历进程查找“drvanti.exe”
　 驱动防火墙进程，如找到则调用API函数TerminateProcess强行结束该进程。

网络行为:

　　　　协议：TCP
　　　　端口：80
　　　　连接服务器名：http://www.ir***.com/css.txt
　　　　IP地址：121.10.115.***
　　　　描述：连接服务器读取TXT列表内容下载病毒，读取的列表内容：
　　　　[DOWN]
　　　　1=http://uiik.ur***.com/down/new1.exe
　　　　2=http://uiik.ur***.com/down/new2.exe
　　　　3=http://uiik.ur***.com/down/new3.exe
　　　　4=http://uiik.ur***.com/down/new4.exe
　　　　5=http://uiik.ur***.com/down/new5.exe
　　　　6=http://uiik.ur***.com/down/new6.exe
　　　　7=http://uiik.ur***.com/down/new7.exe
　　　　8=http://uiik.ur***.com/down/new8.exe
　　　　9=http://uiik.ur***.com/down/new9.exe
　　　　10=http://uiik.ur***.com/down/new10.exe
　　　　11=http://uiik.ur***.com/down/new11.exe
　　　　12=http://uiik.ur***.com/down/new12.exe
　　　　13=http://uiik.ur***.com/down/new13.exe
　　　　14=http://uiik.ur***.com/down/new14.exe
　　　　15=http://uiik.ur***.com/down/new15.exe
　　　　16=http://uiik.ur***.com/down/new16.exe
　　　　17=http://nxxv.ur***.com/down/new17.exe
　　　　18=http://nxxv.ur***.com/down/new18.exe
　　　　19=http://nxxv.ur***.com/down/new19.exe
　　　　20=http://nxxv.ur***.com/down/new20.exe
　　　　21=http://nxxv.ur***.com/down/new21.exe
　　　　22=http://nxxv.ur***.com/down/new22.exe
　　　　23=http://nxxv.ur***.com/down/new23.exe
　　　　24=http://nxxv.ur***.com/down/new24.exe
　　　　25=http://nxxv.ur***.com/down/new25.exe
　　　　26=http://nxxv.ur***.com/down/new26.exe
　　　　27=http://nxxv.ur***.com/down/new27.exe
　　　　28=http://nxxv.ur***.com/down/new28.exe
　　　　29=http://nxxv.ur***.com/down/new29.exe
　　　　30=http://nxxv.ur***.com/down/new30.exe
　　　　31=http://nxxv.ur***.com/down/new31.exe
　　　　32=http://nxxv.ur***.com/down/new32.exe
　　　　33=http://nxxv.ur***.com/down/new33.exe
　　　　34=http://nxxv.ur***.com/down/new34.exe
　
清除方案：
1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 　
　 (1)使用ATOOL进程管理结束病毒进程。
　 (2)强行删除病毒下载的大量病毒文件：
　 　 %System32%\adfbaa.exe（随机病毒名） 　　　　
　 　 %System32%\drivers\beep.sys
　 　 %System32%\drivers\pcxyqr.sys
　 　 （注：该病毒下载的病毒列表可能会随时变化）
　 (3)删除病毒创建的注册表项：
　 　 [HKEY_LOCAL_MACHINE\SYSTEM
　 　 \CurrentControlSet\Services]
　 　 注册表值: "qabpxy"
　 　 删除qabpxy键值
　 　 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 \Windows NT\CurrentVersion\
　 　 Image File Execution Options
　 　 \被映像劫持的文件名称]
　 　 删除Image File Execution Options键值下所有被映
　 　 像劫持的文件名称。