一病毒成功突破Windows7 7264的UAC

作者:之家技术ZGCC

今天上网，下载一个什么小程序忘了，本来想到安装了Windows7 7264, UAC也没关（按默认设置），也不是Administrator用户，NOD32也是最新病毒库，应该没事，有病毒也应该安全。。。于是下载下来的EXE随手双击。。。没反应呢。。。再双击，也没反应，于是引起我的怀疑。。。用NOD32扫描系统，找到C:\Program Files\Microsoft Office\OFFICE11\OFFICE.EXE是可疑文件，因为我刚装7264系统，并没有安装OFFICE，哈哈，一眼就看出来这是个病毒！！顺便查了一下注册表，乖乖，这个文件是一个服务。。。
很奇怪的是运行这个程序时NOD32和UAC均没有报警！！！
于是我大胆断言：此病毒可以突破WINDOWS7 7264 的UAC(用户帐户控制)！
当然我是直接双击，非“以管理员身份运行”，而当前用户也非Administrator(禁用了Administrator用户)。
本来想上网找找这个病毒的资料，但百度也打不开，各个安全网站杀毒网站也被屏蔽了，郁闷。。。
于是，只有手工研究了大约半小时终于搞清楚了：
这个病毒可以以普通用户进行安装!! 此病毒自动安装到：
C:\Program Files\Microsoft Office\OFFICE11\OFFICE.EXE  (属性:隐藏系统只读)
它可以突破UAC，自动创建服务：MSSQL
修改hosts文件，把杀毒和安全网站的连接全部指向: 127.0.0.1
常用连接(如 百度)全部指向 205.209.148.243  即 www.yl177.com.cn

病毒样本（切记不要双击运行哈,专业人士除外!!）: http://www.kkzj.com/
解压缩密码：111

附上手工清除办法：
1、首先进入services.msc 找到MSSQL服务，禁用。
2、管理员身份打开“命令提示符”运行：sc delete mssql   （这样服务就删除了）
3、手工删除文件 C:\Program Files\Microsoft Office\OFFICE11\OFFICE.EXE  （是隐藏只读文件，需要打开文件夹选项先，如果删不掉，就重启电脑再删除）
4、手工修改回hosts文件(也可以从正常的电脑上拷贝过来覆盖之)，该文件位于：c:\windows\system32\drivers\etc\ （管理身份运行的"记事本"就可以修改它）
5、重启电脑，再次从1-4步骤检查一遍，OK！