病毒简要分析：  

样本信息
File: avp.exe
Size: 24064 bytes
Modified: 2008年4月2日, 9:04:06
MD5: DDD11914EEE5365588B306BE38480836
SHA1: 4F6E0F6FCD637C7E511C5D46356A9E15266284DE
CRC32: 16F47CCA
加壳方式：UPX

1.初始化创建一个名为avpkav的互斥量，保证只有一个实例运行。

2.主要启动两个线程，一个线程负责联网和设置某些启动项目，令一个线程负责感染文件

线程1: 通过修改注册表锁定IE主页和IE主页设置

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page：http://www.***my.com/

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page：http://www.***my.com/

锁定IE主页

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\homepage:0x1

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Control Panel\homepage:0x1

锁定IE主页的设置使按钮变灰

 

通过shellexecute启动IE，并创建远程线程，执行病毒的更新工作，下载http://**.avpkav.com/ver.txt

 

到c:\Program Files\ver.txt

 

线程2：遍历C~Z盘的所有exe文件（不包括如下文件夹中的）
WINDOWS
WINNT
RECYCLER
$RECYCLE.BIN
System Volume Information
Config.Msi
InstallShield Installation Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings

在文件尾部加入一个名为KAO的节，被感染文件执行后会执行下载任务下载http://**.avpkav.com/avp.exe到C：\avp.exe，然后调用WinExec函数运行病毒文件，其本身并不感染其他文件。

解决方法：

下载sreng：http://www.skycn.com/soft/23312.html#download

1.打开sreng
启动项目  注册表 删除如下项目
系统修复-shell/IE 全选 修复

2.使用杀毒软件在安全模式下全盘杀毒，注意杀毒的时候一定要选择清除病毒！如果最近使用过移动存储设备也要对移动设备进行全面杀毒

 

3.屏蔽如下网站:avpkav.com

 

4.有条件的最好装一个防火墙，在使用中如果发现某些不访问网络的exe在运行时，防火墙也弹出要联网的警告窗口，那么表明该exe被感染，在杀毒软件能够清除应避免再次运行。