Win32.Troj.Small.cf

威胁级别：★

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个硬盘杀手。该病毒会向硬盘分区起始扇区写入垃圾数据破坏硬盘，给破坏的硬盘数据很难恢复。建议中毒用户若有重要数据要恢复应求助于专业数据恢复机构，不要试图自行恢复，以免造成不可挽回的损失。

1、生成的文件

%documents and settings%\\%user%\\lsass.exe

%documents and settings%\\All Users\\lsass.exe

%system_volume%\\system_volume\\lsass.exe

%system_volume%\\system_volume\\desktop.ini

2、非系统盘里添加autorun.inf启动

-------------------------------------

[autorun]

open=.\\system_volume\\system_volume\\lsass.exe

shell\\1=Sb_&

shell\\1\\command=.\\system_volume\\system_volume\\lsass.exe

shell\\2=

shell\\2\\command=.\\system_volume\\system_volume\\lsass.exe

shellexecute=.\\system_volume\\system_volume\\lsass.exe

-------------------------------------

3、病毒不停的设置隐藏属性，是系统总是不显示隐藏文件

HKCU\\software\\microsoft\\windows\\currentversion\\explorer\\advanced

"hidden" = "0x2"

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

"ShowSuperHidden" = "0x0"

4、该病毒在系统中安装一类型为：WH_MSGFILTER消息钩子。

5、该病毒会运行tskill.exe和ntsd.exe命令结束下列名称进程

kvmonxp.kxp

shstat.exe

ravmon.exe

avp.exe