MD5:3ccdb37754d7c8a011c84edd078bac9a

病毒名称 : Worm.Magistr.hp

病毒的族系：马吉斯病毒的变种

特点：带有 hp官方签名，7z 打包过的 exe ，属于感染性的蠕虫。

该蠕虫释放的文件

主要行为：

启动病毒主程序 hpzfwu01.exe

检测 %SystemRoot%Windows linkinfo.dll 是否存在，不存在则创建 linkinfo.dll

加载 linkinfo.dll,获取SfcIsFileProtected 用于检测是不是系统文件，后面用到避免病毒感染系统文件。

检测病毒是否在 explorer.exe这个进程中，如果在explorer中则启动病毒主线程，如果不在继续

检测 %SystemRoot%\system32\drivers\IsDrv122.sys 驱动是否存在，不存在则创建 IsDrv122.Sys

加载 ZwSetSystemInformation加载驱动IsDrv122.Sys, 然后删除驱动文件 IsDrv122.Sys。

使用 APC注入把病毒注入explorer,此时病毒在 explorer中，然后启动病毒主线程。

检测病毒是否在虚拟机内，如果在虚拟机内在调用 NtShutdownSystem关闭虚拟机。

病毒主程序创建互斥体 :PNP#DMUTEX1#DLU,防止程序重复执行

然后创建四个病毒线程开始工作

病毒线程 0：

新建一个隐藏的窗体监控是否有移动设备插入电脑，如果发现，感染移动设备中的 exe。

病毒线程 1：

感染自身系统的 exe，但是不感染系统文件夹下面的文件，和 qq的文件，也不感染以下的文件，很多游戏程序是不感染的，可能是为以后下游戏木马做准备。

病毒线程 2：

提升自身权限，利用之前加载的驱动程序，终止系统中的其他病毒进程，保持系统的稳定行。

终止以下进程，都是常见的病毒进程

病毒线程 3：

主要是枚举局域网内的共享文件夹，然后把病毒自身复制为到共享文件夹中 ,名称为setup.exe 。

然后利用 IPC$的弱口令扫描局域网中的机器，

使用弱口令如下：

如果命中则继续感染这台机器。

病毒所用的 C&C服务器

用于病毒作者下达指令指挥中了病毒的僵尸，进行 DDOS攻击，或者盗号行为。先简单介绍一下大体功能，之后再做详细分析。