Storm_Center

　　本例来源于电脑报论坛，求助的是服务器上出现大量以11位随机字母组合成文件名的进程程序，从任务管理器的进程表中可以看到大量此类的进程，这些随机文件名程序的路径都在系统目录下的某些正常的文件夹中（如c:\windows\system32\rtcom\、c:\windows\system32\clients\）。 ……

　　该木马伪造酷狗的数字签名，加载服务自动运行，后台下载推广软件或其它木马，可能还有篡改IE主页行为。……

　　输入淘宝网址自动跳转到“淘宝特卖”，而且360网站打不开。检查HOSTS文件，用记事本打开只看到一堆乱码，看不出是什么内容。很明显这里的HOSTS已经被篡改了，这种HOSTS被劫持的情况并不少见，通过劫持导致对正常网站网址的访问跳转到特意的网址，从而劫持流量、恶意推广，甚至可能进入危险网站。……

　　金山宣传说新出现一种木马，可通过按空格键来激活启动。与以往占领启动项（注册表、服务、驱动等）的木马不同，这是利用快捷键的方式通过常见的操作（按空格键）来启动。……

　　找到一个“老”病毒，是从U盘中发现的，很小心的右击U盘打开，还不放心，打开隐藏、系统属性显示，就发现多了一个antiarp.exe出来。U盘曾经到数码冲印店转了一遭，虽然相当多的杀毒软件报为AutoRun（也有报为灰鸽子的），但在U盘中没有发现autorun.inf，估计不知道在哪个地方被杀毒软件先干掉了。……

　　中毒电脑中应用程序的图标都变成图片文件的图标，双击后提示没有预览，杀毒软件、安全工具不能运行。其实这个中毒现象与以前的“开机跳出图片查看器” 情况类似，应用程序打开方式的关联被篡改到查看图片程序上，但图片查看程序本身的关联也被篡改，所以不仅是程序文件，包括真正图片文件想打开查看时都是提示没有预览。……

　　金山沙箱和360保险箱有时会报某某文件“加载全局钩子”，如dwmapi.dll、mshtml.dll。“加载全局钩子”只是安全工具的一个风险提示，而不是说一定是有害的，一定是病毒和木马，虽然病毒木马也喜欢用加载钩子的方式来监控用户的电脑以便窃取信息，但很多正常的软件也有这种行为，如杀毒软件的监控功能、如QQ或某些网络游戏的安全模块，甚至是系统程序。……

　　360发布的新病毒通告称为“BMW病毒”，而金山称为新鬼影变种，认为“其字符串加密手法和以前的鬼影病毒有很多相似之处”，“初步判断该病毒和老鬼影病毒是一个团伙所为”。不管是哪个名字，从描述上看，这个新病毒确实是够危险的，感染特定的主板BIOS，感染硬盘主引导分区MBR，继续感染windows系统文件，下载并加载病毒驱动，下载盗号之类的木马和恶意程序、篡改浏览器主页。……

　　中毒症状：开机后跳出“windows图片和传真查看器”，所有exe文件打开方式都变成图片和传真查看器，桌面无图标，无右键菜单，只剩下一个任务栏，组策略、开始运行栏使用受限：不能使用cmd，不能修改策略，无法进入硬盘，有的连任务管理器也受限，如不能新建任务。如下图，开机时金山软件的文件kastray.exe被用图片查看器打开。……

　　论坛网友说他的cmd.exe不能运行，然后在D盘下的MyMonitor文件夹里发现了一个名为MyMonitor.exe的文件，虽然用金山毒霸检查不出病毒，但删掉后重启就能打开cmd.exe。这个MyMonitor.exe我记得是一个病毒监控分析工具，怎么会和cmd.exe联系到一起，经检查发现，这个MyMonitor.exe和另一个spoolsv.exe都是可疑对象，很可能是冒名顶替的病毒文件。……