近期发现了一个恶劣的木马下载器，目前截获版本号为NSDownLoader25Vip20081130。

奥运之后有较长一段时间木马产业链的从业者相对比较沉静，出现的病毒也没有多少新意，而这个NS下载者看来要打破这个短暂的沉静了。

据分析，这个NS下载器继承了机器狗病毒穿还原卡的功能，利用ARP攻击在局域网传播。同时，病毒还有扫荡波的特点，攻击没有修补MS08-067号漏洞的Windows系统。当然利用U盘自动运行功能传播，已经差不多成为病毒的标配。

为了下载更多木马，类似的下载者都会选择和AV终结者一样的手法——映像劫持或利用自身驱动强行关闭杀毒软件进程，修改hosts文件阻止用户访问杀毒厂商的网站，影响杀毒软件的升级。

综合看来，这个病毒是集多种主流病毒木马技术于一体的混血儿，目前这个混血儿还在不断更新中，预计中招的电脑还会增加。

对付这个混血儿，用金山系统急救箱会更加简单一些。目前急救箱还不能一次重启就解决，先修复一部分再用清理专家来完成后续的修复工作。

急救箱下载地址

http://bbs.duba.net/thread-21988813-1-1.html

手动删除病毒

(a)删除文件（使用顽固文件删除工具才可以删除）

%sys32dir%\Nskhelper2.sys
%sys32dir%\appwinproc.dll
%sys32dir%\NsPass0.sys
%sys32dir%\NsPass1.sys
%sys32dir%\NsPass2.sys
%sys32dir%\NsPass3.sys
%sys32dir%\NsPass4.sys
 

每个驱动器下，存在autorun.inf和对应的system.dll

(b)从dllcache目录下修复系统文件。

%sys32dir%\schedsvc.dll
%sys32dir%\appmgmts.dll
%sys32dir%\srsvc.dll
%sys32dir%\w32time.dll
%sys32dir%\wiaservc.dll
 

(c)删除注册表

HKLM\SYSTEM\CurrentControlSet\Services\NsRk1
“ImagePath” "\??\C:\WINDOWS\system32\Nskhelper2.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk00
“ImagePath” "\??\C:\WINDOWS\system32\NsPass0.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk01
“ImagePath” "\??\C:\WINDOWS\system32\NsPass1.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk02
“ImagePath” "\??\C:\WINDOWS\system32\NsPass2.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk03
“ImagePath” "\??\C:\WINDOWS\system32\NsPass3.sys"

HKLM\SYSTEM\CurrentControlSet\Services\NsPsDk04
“ImagePath” "\??\C:\WINDOWS\system32\NsPass4.sys"

(d)修复映像劫持。

(e)清除%temp%目录。

(f)修复hosts文件。

安全建议：

1.务必使用金山清理专家扫描并修复所有系统漏洞。

2.局域网用户务必安装金山ARP防火墙，防止局域网内其它电脑中毒导致你浏览任何网页也跟着下载病毒。

3.及时升级杀毒软件，以拦截该病毒的已知变种。

4.尽量不去浏览不太可靠的web站点，网页挂马是这类病毒传播的主要方式之一。

5.禁用自动播放功能，避免在插入U盘或移动硬盘时中毒。

如果发现U盘的autorun.inf（可以用记事本打开这个文件）中含以下内容，就有可能中了这个NS下载器，推荐使用金山清理专家在线诊断，以发现病毒入侵的线索。

[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
 

如果觉得自己处置有困难，可以在病毒求助专区提问求助。