二.sos最新变种TxHMoU.Exe的分析

技术细节：
1.病毒运行后，衍生如下副本：
%systemroot%\system32\AUToRUN.Inf
%systemroot%\system32\TxHMoU.Exe
在每个分区根目录下面生成AUToRUN.Inf和soS.Exe，达到通过U盘等移动存储传播的目的。

2.调用reg.exe进行一些注册表的操作
与之前的变种相同
主要执行的操作为：
添加自启动项目
禁用windows自动更新
禁用任务管理器
破坏显示隐藏文件的功能
不显示文件的扩展名
锁定主页，并使得IE的主页设定选项不可选

3.遍历所有磁盘分区删除*.gho文件

4.遍历所有磁盘分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，CONN.ASP文件
并在其尾部加入iframe代码

5.关闭指定窗口
病毒
木马
检测
wpe

以及包含下面的table.txt中的指定关键字窗口

6.连接网络下载http://www.*/url.txt
http://www.*/IE.txt
http://www.*/table.txt
到%systemroot%\system32下面命名为FSEc.COM,FSEb.COM,FSEx.COM
其中table.txt和IE.txt每几秒钟便重新下载一次
其中url.txt为下载的木马列表
IE.txt为锁定的主页的名称
table.txt为关闭指定窗口的名称
目前为：
360safe
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴
江民
瑞星
卡卡社区
金山毒霸
毒霸
金山
社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭
微点
卡巴斯基
kaspersky
rising
瑞星
诺顿
之后会根据url.txt中的内容下载木马到%systemroot%\system32并运行

解决办法：（希望对你有帮助）
logogogo.exe专杀工具[超级巡警]下载地址
360安全卫士U盘病毒专杀工具 v1.9下载地址（12月6日最新更新！）
Worm.Win32.AutoRun.bp（RxpMoN.Exe/sos.exe）专杀下载地址