這是個利用FLASH漏洞進行傳播的病毒下載器。它進入電腦后會破壞多款國產(chǎn)殺毒軟件和安全輔助軟件的正常運行，然后下載盜號木馬到系統(tǒng)中運行。運行完畢后就完全刪除自己的全部文件，不留下一點痕跡。

1.關閉毒霸、瑞星等安全軟件的進程、并將安全軟件的主要程序程序替換
為無效的文件。
2.禁用系統(tǒng)安全中心、windows防火墻、系統(tǒng)還原。
3.結束360的進程、刪除其進程文件。并修改360的設置，使360的保護
失效。
4.釋放木馬下載者病毒。
5.刪除病毒運行過程中生成的所有文件（不含釋放的木馬下載者）。注：此
項可配置，若不設置，病毒會釋放副本C:\Progra~1\Realtek\APPath\RTHDCPL.ex，
e，并為之創(chuàng)建啟動項：HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\S
oundman。

1.將本進程文件移動到同盤的根目錄，且重命名為x:\NTDUBECT.exe
2.根據(jù)查找是否有avp.exe進程、是否可以修改系統(tǒng)時間來檢測當前系統(tǒng)中是否
有裝有卡巴斯基，若有，程序返回。
3.禁用系統(tǒng)安全中心、windows防火墻、系統(tǒng)還原。
4.設置HKLM\software\360safe\safemon子鍵下的ExecAccess,SiteAccess,MonAcc
ess,VDiskAccess,ARPAccess,IEProtAccess為0.
檢測當前系統(tǒng)中是否有360tray.exe、360safe.exe，若有，結束進程、刪除進程
文件。
5.檢測系統(tǒng)中是否有ravmond.exe、kwatch.exe、kasmain.exe。若有：
1)將進程資源RCDATA/"ANTIR"釋放到%temp%\ANTIR.exe。
2)將進程資源RCDATA/"KNLPS"釋放到%temp%\ANTIR.sys。
3)生成批處理腳本%temp%\tmp.bat，內容為：(以下%temp%代表C:\DOCUME
~1\xz\LOCALS~1\Temp\)
cd%temp%
%temp%\ANTIR.exe-f$安全進程軟件的進程id
delC:\DOCUME~1\xz\LOCALS~1\Temp\ANTIR.exe;C:\DOCUME~1\xz\LO
CALS~1\Temp\ANTIR.sys;C:\DOCUME~1\xz\LOCALS~1\Temp\tmp.bat
進程可為rfwsrv.exe,rfwmain.exe,kwatch.exe,kissvc.exe,kpfwsvc.exe,safebo
xTray.exe,RavMonD.exe
4)調用WinExec("tmp.bat",SW_HIDE)執(zhí)行腳本關閉安全軟件的監(jiān)控進程、刪
除自身的文件。
5)等待腳本被成功刪除。最多等待10s。
6)病毒利用自己的另一個文件antir.Exe和驅動文件antir.Sys，查詢并替換毒霸和瑞星的文件。
7)(本樣本無此行為)若系統(tǒng)中，RavMonD.exe、kwatch.exe進程已經(jīng)不存在，
且GEN_RTHDCPL標志被設置，
若當前系統(tǒng)為NT(dwPlatformID,VER_PLATFORM_WIN32_NT),創(chuàng)建啟
動項:
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run\Soundman"C:\Pr
ogra~1\Realtek\APPath\RTHDCPL.exe"
6.再次檢測是否存在avp.exe進程，若存在：
1)調用mixer*函數(shù)靜音
2)將系統(tǒng)年份修改為2000年
3)打開聲音
4)循環(huán)15次設置系統(tǒng)時間
5)再次禁用系統(tǒng)安全中心、windows防火墻、系統(tǒng)還原。
設置HKLM\software\360safe\safemon子鍵下的ExecAccess,SiteAccess,Mon
Access,VDiskAccess,ARPAccess,IEProtAccess為0.
檢測當前系統(tǒng)中是否有360tray.exe、360safe.exe，若有，結束進程、刪除
進程文件。
6)再次檢測系統(tǒng)中是否有ravmond.exe、kwatch.exe、kasmain.exe。
7)將RCDATA\packageinfo保存為%temp%\setup.exe,并執(zhí)行setup.exe。此文
件為一個木馬下載者。
7.建立映像劫持，此項可由配置信息控制。
8.(本樣本無此行為)恢復原來的時間，此項可由配置信息控制。
8.若生成了NTDUBECT.exe,調用命令行"cmd/cdel"刪除之。