無極殺手

病毒運行後，生成qmgr.dll病毒檔案，載入sfc_os.dll並查找其5號導出函式，使得系統的檔案保護對於其要修改的qmgr.dll失效，然後病毒從資源中讀取數據寫到qmgr.dll，修改該檔案時間，並啟動對應的服務。然後在系統目錄下把自身複製為lsasvc.dll並在臨時目錄釋放“TempDel.bat”以刪除自身。

病毒檢查當前模組所在進程是否為360tray.exe，如果是則創建一個名為"360SpShadow0"的設備，通過傳送IO控制碼的方式控制繞過360tray.exe的檢測，完成後，退出程式。

無極殺手病毒檔案

查找當前系統中是否存在進程"360tray.exe"，如果有，則

將%SystemRoot%\system32\qmgr.dll複製為%SystemRoot%\system32\1l1.dll,將%SystemRoot%\system32\1l1.dll注入到目標進程空間，從而第一步的內容得到執行，完成後，刪除%SystemRoot%\system32\1l1.dll，同時清空hosts檔案。

完成以上動作後，病毒會創建多個執行緒執行不同操作：

將qmgr.dll對應的BITS服務啟動類型設定為自動。

刪除如下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network破壞安全模式

然後在臨時資料夾內創建一個名為LiTdi.sys的驅動，創建名為LiTdi服務，並啟動服務。查找相關防毒軟體或安全軟體進程，並向驅動傳送IO控制碼的方式結束相關進程。

病毒還會調用IE訪問某網頁做感染統計。從表項中依次選擇下載十幾種惡意程式，其中多數為盜號木馬。

病毒還會感染可移動存儲設備上的exe,rar,htm,html,asp,aspx檔案，對於擴展名為.rar的檔案，病毒還會解包感染以上擴展名檔案後再壓縮回去。對於htm,html,asp,aspx的網頁檔案，病毒會在其尾部加上惡意代碼，使得這些網頁檔案成為病毒的二次傳播源，用戶一旦點擊這些被感染檔案，則會被病毒感染。

病毒還會通過自動播放功能傳播。查找可移動存儲設備並在其根目錄下生成autorun.inf，建立一個名為recycle.{645FF040-5081-101B-9F08-00AA002F954E}的資料夾，把%SystemRoot%\system32\dllcache\lsasvc.dll複製到該目錄下為Ghost.exe。

通過自帶的弱密鑰列表對網上鄰居進行猜解，被猜解成功的管理員賬戶密碼的計算機將受到感染；如果連線成功，則將C:\WINDOWS\system32\dllcache\lsasvc.dll拷貝到對方機器的C:\cm.exe，同時創建計畫任務以激活該病毒。

針對該病毒，建議網民開啟防毒軟體的主動防禦和實時監控，以防禦病毒，免遭“無極殺手”病毒侵害，確保電腦數據安全。

無極殺手病毒的爆發，無疑給熱衷於炒作的防毒廠商當頭棒喝，在無極殺手面前，什麼雲安全、永久免費都毫無意思可言。事實上一些比較激進的防毒廠商，號稱截獲數千萬病毒，事實給用戶遭成最大損害的，也只是極其少數的惡性病毒，在病毒造成的巨大損害面前，任何免費的噱頭都無任何意思，畢竟對於許多電腦中存在許多重要數據的用戶來講，他們寧願花費一百元左右的價格買一款保護能力強大的防毒軟體，而不願因為這區區一百元，讓自己電腦中重要的數據得不到任何安全保障。

“無極殺手”同時暴露了另一個重要的問題，那就是國外防毒軟體的自我保護能力普遍薄弱。畢竟在國外，病毒比較溫和，主要以蠕蟲病毒為主，而象“無極殺手”這樣厲害的驅動級病毒，在國外根本就沒有出現過，而在國內已經十分普遍，所以國外的防毒軟體缺少對付驅動級病毒的經驗，國內廠商則輕車熟路，所以在“無極殺手”面前的表現相對較好。值得注意的是，國內一款號稱永遠免費的防毒軟體，核心引擎用的正是國外的產品，所以在無極殺手面前同樣束手無策。

“無極殺手”病毒揭開了行業存在的內幕，揭開了重重謊言下的真象，相信以後電腦用戶在選購防毒軟體時，一定要多問一句，能殺“無極殺手”這樣的驅動病毒嗎？能防止被病毒關閉嗎？缺少這兩點，別的說的再好也白費，自身都不保還談保護別人嗎？