经过获取的生成器和对生成的木马本体进行分析，得到如下技术报告：

1、运行木马后：

木马在C:/Program Files/Common Files/Microsoft Shared/MSINFO/   目录下生成一些.dat文件

文件命名规则是：是根据C盘的的序列号生成，例如
驱动器 C 中的卷的序列号是 F4A4-94EE

则为F4A494EE.dat;
如果在获取磁盘序列号失败时,则使用默认的名字NTdhcp.dat;

生成的DLL也是这样命名：F4A494EE.dll，或者NTdhcp.dll

同时生成%WINDOWSDIR%/ Help/wshmcepts.chm

系统的%SYSTEMDIR%/verclsid.exe会被改名为%SYSTEMDIR%/verclsid.exe.bak
然后从资源中获取DATEINFO内容保存为DLL.

然后修改注册表的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/

CurrentVersion/Explorer/ShellExecuteHooks从系统计算取得一个CLSID。

如果失败则会使用{D19E306D-8C5B-4615-8255-E7B60442AA08}

HKEY_CLASSES_ROOT/CLSID/[CLSID]

之后将自身复制到DAT文件
装入DLL, 并调用JumpHookOn函数。

2、木马运行中：

DLL会关闭常见的杀毒软件的进程，列表如下。
"scan32.exe"
"shcfg32.exe"
"mcconsol.exe"
"avp.exe"
"SREng.exe"
"HijackThis.exe"
"KvXP.kxp"
"KVMonXP.kxp"
"kvol.exe"
"kvolself.exe"
"KvXP_1.kxp"
"KVMonXP_1.kxp"
"KAV32.EXE"
"KAVStart.EXE"
"KASMain.EXE"
"Update.EXE"
"Rav.exe"
"SmartUp.exe"
"PFW.exe"
"Iparmor.exe"
"mmsk.exe"
"mmqczj.exe"
"Trojanwall.exe"
"FTCleanerShell.exe"
"svohost.exe"  -------------列表上需要杀掉的这个进程很有意思，难道是别的盗号软件？

木马还会生成C:/ALASTART.EXE;

还有一个后门：
木马会在后台下载http://alaqq20.3322.org/new.jpg, 这实际是一个可执行文件，不是图！
下载回来后保存为c:/new.exe

此文件和前面木马自己生成的文件不相同，这大概就是超级重生功能。

此程序采取的是FSG的壳（脱壳机还脱不下来，手工干掉的），

并且此程序在C:/Program Files/Common Files/System 目录下，又生成

B2F05087.dat
B2F05087.dll

C:/Documents and Settings/***/「开始」菜单/程序/启动/F07508.exe

（这几个文件的命名方式和前面不同，所以各位看见的文件名可能有差异），因为时间关系，对这个程序的分析就到此截止，因为杀毒软件目前已经能及时预防并查杀它了。所以只简单分析了一下，大家对木马的常见伪装手段也能了解一些了。

====================================

技术处理对策：

按上述分析自己研究解决办法吧。我还没吃午饭呢。

预防为主，客户机安装最新的杀毒软件进行防范。

另外奉劝各位使用盗号软件的，当你们在盗号的时候，其实是在为木马作者盗号。从上面的那个后门各位就能看出问题来。它那个伪装成jpg的东西可以是作者放置的任何文件。

所以要彻底杀灭，还必须封锁3322.org的那个域名解析，阻止自动重生功能。

此木马经过实践测试，11月19日的卡巴斯基5.0、6.0病毒库已经能查到，别的杀毒软件我没测试，防范起来应该很容易的。

病毒木马一定要控制在程序运行前被杀毒软件拦截掉，而不是等你运行完了再去杀。那已经是亡羊补牢了。