西部资源目标价:windows\system32\mswdm.exe这个文件是病毒么

是7月31日上午,北京江民新科技术有限公司快速病毒监测网首先发现了一种在国内急剧传播的32位格式、感染WINDOWS的PE文件的病毒，并很快又截获了该病毒的变种。目前该病毒有大肆在国内蔓延的势头.此病毒有黑客性质，能在WINDOWS目录下自动生成含有病毒全部代码的病毒体文件mswdm.exe 文件，并修改系统注册表使得系统每次启动，该程序都会被自动执行。

该病毒采用高级语言编写，感染文件后增加的文件的字节数是35840字节，而且该病毒将病毒代码放在被感染的可执行文件的头部，而将正常的可执行文件的代码放在病毒代码的尾部，这一点和其他的病毒是不太一样的：一般的感染可执行文件的病毒都将自身放在被感染的文件的后部，然后修改原可执行文件的头部的入口参数，从而达到感染的目的。

由于病毒可以根据被感染文件修改自身的图标资源，故感染后文件的图标并不改变，只是病毒仅仅使用了32x32的图标而没有使用16x16的图标，因此小图标会改变并且不大容易分辨。目前在国内流行有该病毒的2个变种，名字分别是Win32/Trojan.MSWdm、Win32/Trojan.MSWdm.b，这两个变种增加的文件长度是一样的，但是病毒具体的内容并不完全一致。

江民公司最新版本的KV3000杀毒王可以完全清除该病毒，确保你机器的安全。江民公司的网站提供的详尽的反病毒资料信息等：http://www.jiangmin.com

在Windows目录中创建的文件是：隐含文件msWDM.exe，并设置成自启动。自启动项键值分别是[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"WDM"="MSWDM.EXE"
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"WDM"="MSWDM.EXE" 具体的感染方式是将被感染文件放到病毒体的后面，文件的尾部保存有18个字节的感染数据，以便快速恢复原文件。

如果存在C:MSWDM.PRO的文件，就不感染，否则从D：盘开始，通过在逻辑盘的根目录下创建Sys.Try文件是否成功来检测逻辑驱动器是否可写，如果可写，将搜索所有的*.EXE文件并进行感染，最后检查的是C:盘。如果发现有一个盘可以进行感染就会不停地重复检查感染和更新感染数据，可能是病毒的设计缺陷，而不会感染下一个逻辑盘。该病毒比较独特的地方还有该病毒支持命令行选项。其中-e!可以只执行病毒部分，而并不执行被感染文件。该病毒还遍历进程列表，终止一些可能是反病毒软件的进程。

mswdm.exe是Troj_Win32.Ipamor.d
该病毒修改注册表创建Policies\Explorer\Run/KernelFaultCheckC:\WINDOWS\system32\ mswdm.exe实现自启动。病毒感染Pe格式的exe文件,集木马和win32病毒于一体。病毒被运行后，首先释放MSWDM.EXE到系统目录，隐藏到后台，继续感染，并监听Udp139端口，并将原来的程序释放到临时目录，然后启动。使用户感觉不到病毒的存在。

该病毒采用高级语言编写，而且该病毒将病毒代码放在被感染的可执行文件的头部，而将正常的可执行文件的代码放在病毒代码的尾部，这一点和其他的病毒是不太一样的。
由于病毒可以根据被感染文件修改自身的图标资源，故感染后文件的图标并不改变，只是病毒仅仅使用了32x32的图标而没有使用16x16的图标，因此小图标会改变并且不大容易分辨。