近期用户反馈在某xx软件下载站，点击高速下载pps网络电视（PPstream）的时候发现桌面突然出现名为桌面秀和好特软件站的图标，系统图标栏出现一个名为果果桌面的软件。
同时打开IE时发现主页已经被篡改为go2000.com,用了很多ie主页修复类软件都没能修复。

这个恶意软件利用了用户喜欢酷炫桌面的心理，精心构造了一个桌面美化类的程序并且在一些网站投放广告，以高速下载，极速下载的名义诱惑用户点击。一旦进入用户系统以后它会修改浏览器的主页为www.g o2000.com(www.qq5.com等)，同时会破坏电脑里的IE浏览器执行程序，并且会使用自己精心构造的恶意程序替换系统正常的IE浏览器主程序，从而达到无声无息控制用户IE浏览器的目的。

相对于安全圈里天天你的鼻子我的眼睛，那些靠造病毒发财的人却很和谐——各种各样攻击的教程继续被传播，攻击代码被分享。春节前，金山安全实验室就监测到一个明显的异常——查询rar.exe、ping.exe、appmgmts.dll用户大量增加，金山工程师猜测这个系统文件可能正在被一些病毒攻击。从中，他们找到一些病毒的母体程序。

分析这些样本，他们判断，这些病毒将严重影响大家过年的愉悦指数，他们给这些病毒取了一个很王道的名字——极虎，金山安全实验室会继续监视”极虎“病毒的进一步动向。

以下是对”极虎“病毒的详细分析：

概述:
近期,毒霸捕获到高危的感染型下载者病毒，以下是用户的求助：
1)PING.EXE的进程在不停的跳动，无法结束
2)准备装杀软，发现绝大部分杀软网站都无法访问
3)装360杀毒，安装后无法启动杀软，双击无反应
4)装瑞星2010，能安装，重新启动后无法正常启动，所有监控关闭
5)装费尔能杀，能检测到注册表异常，修复后一直报病毒，能删除，但是一直在不停的删除
6)安全模式还没加载完就自动重启
7)微点、瑞星主动防御启动失败
8)360：无法启动，点后也没反应（进程能看到）

监控系统发现部分杀毒软件检测到appmgmts.dll是病毒后会直接删除，从而导致用户的系统文件受损。

病毒危害:
该病毒会感染用户机器上的所有可执行文件，并联网下载大量xx、广告类软件，严重危害到系统的安全，同时该病毒非常隐蔽，没有特定的进程，而采用"线程" 插入的方法，插入到正常的系统进程Svchost.exe中，只有在进程模块中，才能看到病毒原体。

如图所示是在冰刃中查看到的Svchost.exe模块信息:

中毒后的现象:
用户机器出现"很卡"的现象，因为此时病毒会调用WINRAR的解包模块去查找解压RAR文件，感染压缩包中的其它程序文件后，再打包。如果xx病毒不彻底的话，用户可能会在重新打开压缩文件时再次中毒。

同时由于该进程是SYSTEM权限,导致用户无法用任务管理器结束该进程。

2.正常的系统文件appmgmts.dll被病毒替换：(正常的appmgmts.dll有版本信息等而病毒释放的则没有)


3.系统中一些EXE文件无故变大,例如：看图软件ACDSee被感染前后，文件大小虽改变，但是文件修改时间没变，大部分用户无法发现病毒的潜伏体，一旦点击，后果不堪设想..



文件被感染后,多出了一个".tc节",如图所示:

该病毒还会感染html、htm、asp等网页文件:

感染后会在网页文件的末尾插入一段恶意的挂马网址:

更猥琐的事还在继续,病毒体将rar文件解压缩,并感染其内的正常文件后,在将文件打包回去:
（盗用百度被黑时，李彦宏说的：始无前例啊，始无前例）

图中的HH.IDA.Pro.v5.2.rar是已经被感染后的文件,丝毫看不出破绽,因为系统时间也被病毒修复为以前的了...

网络环境出现拥堵,病毒体会从网站上下载病毒到本地,并xx该病毒的新变种
http://208.53.151.219:8080/down/XXX.exe
该病毒的变种会伪装成快播播放器的图标,迷惑用户点击

无缘无故弹出网页文件，打开连接为：http://tj.nba1001.net:7777/tj/mac.html

利用$ipc查看局域网内的所有共享，并试图感染局域网的其他机器。（这里发现了久违的蠕虫特征）

系统被加载由病毒体释放的驱动文件，如果安装的杀软和该驱动有冲突，很容易造成用户机器蓝屏。
以下是病毒释放的驱动文件：


操作系统会弹出提示，关键系统文件被替换


9.毒霸实时防毒会报警，以下是运行病毒母体时毒霸拦截并xx：

10.急救箱检测到大量系统异常：


发现大量安全软件被映像劫持，系统文件被破坏：

病毒xx方法:
1下载金山急救箱，修复被病毒替换的文件

2.重启电脑，运行金山毒霸全盘杀毒，毒霸会修复被感染的文件，并保证用户的文件不会被删除。
未安装的，可以从下载

3.下载金山网盾，防止网页挂马导致的重复性中毒（已经安装金山毒霸组合装的用户不必再安装）

极虎病毒是目前为止，集成了各种病毒、木马、木马下载器、蠕虫特征的超强恶意软件。差不多是若干知名病毒的混合体：传播方式超越熊猫烧香；对杀毒软件的破坏力相当于AV终结者、磁碟机；对系统的破坏力更是始无前例；攻击者的目标极度贪婪，会下载各种xx木马、流氓软件，偷帐号，弹广告，刷流量，可谓无恶不作。

来分析一下极虎病毒创造的四个“之最”：

1.传播方式“最”多样：
（1）网页挂马传播，会利用极光0day等系统漏洞传播
（2）局域网共享传播，通过弱口令在局域网内渗透
（3）通过U盘、数码存储卡、手机卡、移动硬盘等移动设备传播
（4）软件捆绑，欺骗下载，在盗版电影下载站、游戏外挂下载站捆绑下载
（5）感染网页格式的文件进行二次传播（这招熊猫烧香用过）如果不幸某网编中招，就可能造成网站的来访者中毒。
（6）感染可执行文件（很多人电脑中毒，没办法就会ghost，或格盘重装，但一般不是全部格式化，这样重装后，很容易再次中毒）
（7）感染rar压缩包内的可执行程序（这一招会令电脑运行变慢，进程中发现多个rar.exe在运行）
（8）在系统文件夹创建usp10.dll和lpk.dll（这是部分变种的特征，和猫癣病毒的传播手法一致）

2.下载的病毒“最”多样
（1）IE主页篡改类病毒（绑架浏览器，为某些导航站刷流量）
（2）热门游戏xx器
（3）流氓软件安装器（弹广告，改系统配置）
（4）其他类型下载器

3.xx病毒修复系统最“难”搞
（1）感染系统文件让杀毒软件不敢xx，简单的删除这些文件，会损坏系统，比如该病毒会感染"appmgmts.dll mspmsnsv.dll Iprip.dll "等10余种系统文件
（2）感染所有压缩包，手工xx难度大（几乎是无法完成的）
（3）感染所有网页文件，手工xx难度大
（4）局域网内传播，全网查杀难度大（病毒总在查询网络中其它有风险的计算机，会令网速下降）
（5）感染u盘等移动设备，一不小心可导致反复感染。
(6）对抗杀毒软件，主动防御拦截容易被针对性绕过
（7）每日更新，杀毒软件一不留神就不能防御
（8）自保护驱动，攻击驱动技术对抗杀毒软件

4.中毒后，对系统的影响“最”大
（1）综合使用多种手段令杀毒软件失效，比如主动防御无法打开，360打开即关闭
（2）开机提示系统文件丢失
（3）系统明显变慢，CPU占用极高，频繁读写磁盘，可观察到硬盘灯狂闪
（4）进程中莫名出现rar.exe 和 ping.exe 无法结束，或结束后又会再起来。
（5）大量exe文件被感染，反复报毒
（6）桌面IE图标被修改，IE主页异常
（7）部分变种会在程序文件夹下创建usp10.dll和lpk.dll，手动无法删除。

金山安全实验室预计传播极虎病毒的集团还会对病毒进行持续改进，请使用金山毒霸安全组合装，或金山网盾进行防御。

【Moshow魔手点评】：这个病毒果然是高手做的，面面俱到，不得不防，却又防不胜防!