恶性U盘病毒HDM.exe

File: HDM.exe

技术细节：
1.病毒运行后，释放如下文件以及副本：
C:\WINDOWS\system32\Winlogon.dll
C:\RESSDT.sys
遍历所有磁盘分区 在磁盘根目录下写入HDM.exe和autorun.inf 以达到通过U盘等移动存储传播的目的

同时建立服务RESSDT
服务相关描述：
启动类型：手动
映像文件路径：c:\RESSDT.sys
显示名称："RESSDT"
之后加载该驱动 该驱动能够使得某些杀毒软件的API hook失效

2.释放一个GetIp.bat到病毒所在目录下，从而获得IP地址
3.利用ping命令探测同一网段内的其他机器，并把结果写入c:\EnumHost.txt
4.如果查找到同一网段内的其他机器，则通过枚举用户名和密码的方式将HDM.exe复制到其他机器的C,D,E,F盘的根目录下

5.获得系统目录，下载http://*/arp.exe和http://*/winpcap.exe
到系统目录下面
winpcap.exe是嗅探器
arp.exe具有arp欺骗功能，可以向局域网中的其它机器的80端口加入http://www.*/wm.htm的iframe代码

6.遍历磁盘所有分区下面的html,htm,asp,aspx,php,jsp文件
在其尾部加入的代码

7.遍历所有磁盘分区删除gho文件

8.在software\microsoft\windows nt\currentversion\image file execution options\下面添加IFEO项目，劫持某些杀毒软件

9.将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000001 破坏显示隐藏文件

10.删除system\currentcontrolset\control\safeboot\network
和system\currentcontrolset\control\safeboot\minimal键
破坏安全模式

11.查找指定窗口的名称，并将其关闭

12.启动c:\program files\internet explorer\iexplore.exe下载木马
下载http://www.*/1.exe~http://www.*/6.exe
到temp文件夹下面分别命名为downfile.exe~downfile5.exe
其中的1.exe又是一个木马下载器，它可以下载很多木马，但测试中并未植入成功...

13.同时在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加注册表项目