9月8日百銳安全實驗室捕獲到一種病毒的***的變種AD.W32.OLG.dc。該病毒最早出現(xiàn)在今年6月份，之后對抗殺軟進一步更新技術(shù)。***變種感染后的計算機，每次開機無法執(zhí)行任何操作，無法創(chuàng)建進程，電腦完全變成了廣告宣傳畫（如下圖所示），該病毒用惡劣的技術(shù)手段控制計算機，在染毒后未重啟的情況下，會加入winlogon啟動項， 結(jié)束進程管理器，explorer.exe ，阻止任何新進程的創(chuàng)建。

相比最近熱門的BMW bioskit 病毒而言，他沒有使用復(fù)雜的底層計算機，但無論是正常重啟，還是安全模式重啟（僅當以命令行安全模式，管理員身份登錄時，恢復(fù)explorer啟動才行，清除相關(guān)修改項），進行系統(tǒng)后都是無法進行任何操作。只能重新安裝。該病毒目前可穿透多數(shù)流行的防御軟件。

開啟百銳僅當實時監(jiān)控，動態(tài)啟發(fā)式分析可以檢測該病毒。

Jashla.exe是病毒的衍生文件

該病毒外層采用upx 加殼,運行后會加入大量混淆數(shù)據(jù)，防止靜態(tài)分析

構(gòu)造程序大量無意義跳轉(zhuǎn)分析干擾分析

在大量的變形代碼中，加入解密的過程，前段程序解密后端代碼
此時在解密中0x40c840出代碼，而此時0x40c840是空白數(shù)據(jù)

解密后是繼續(xù)混淆的功能代碼。

經(jīng)過最終反復(fù)解密后，最終會運行真正的惡意代碼

該病毒會釋放自身到下面目錄，隨機創(chuàng)建文件名稱,并執(zhí)行該進程，同時自刪除自身。后續(xù)操作有另外新啟動的進程執(zhí)行。
C:\Documents and Settings\%user% \Application Data\fjhyf.exe"

該程序會讀取自身是否的配置文件，決對下一步操作。
同時開啟線程，

加載自身廣告圖片，設(shè)置當前系統(tǒng)的背景，此時用戶無法操作界面上面圖標，僅tab鍵可以使用。

判斷操作系統(tǒng)版本，將自身進程路徑加入到
"Software\Microsoft\Windows NT\CurrentVersion\Winlogon"，中做到隨機啟動。如不成功在加入自啟動項中。同時結(jié)束掉系統(tǒng)的任務(wù)管理器和資源管理器。同時監(jiān)控系統(tǒng)新啟動的進程，發(fā)現(xiàn)則結(jié)束掉。

在另一個線程中，截獲windows消息過濾并轉(zhuǎn)發(fā)，保證當前背景圖片始終是自身設(shè)置的廣告，而當前桌面所有圖標均被隱藏。
該病毒純以惡意破壞為主，ByteHero百銳信息安全實驗室提醒廣大網(wǎng)友使用包括ByteHero百銳金盾BSD1.0在內(nèi)的未知病毒防御軟件保護您的數(shù)據(jù)安全。

免費下載百銳金盾：

官網(wǎng)下載：http://www.bytehero.com/download.asp

華軍下載http://www.newhua.com/soft/46056.htm