一直以来我还以为：viptray是我电脑中的三星笔记本的驱动程序(vptray为NORTON杀毒软件的进程名)，结果今天上网一查，竟然是一个病毒，并且还有不少人已经中了，奇怪的是这么大的病毒竟然连麦咖啡与卡吧都没查出来，让我很惊奇！

最后找了一下专杀方法，方法如下：

下载 kv_viptray.exe viptray.exe专杀程序。

下载后重启到安全模式，运行kv_viptray.exe，等一会，会自动关闭。

然后看看进程中viptray.exe还有没有，如果还有请手动删除以下文件：

c:\WINNT\system32\VIPTray.exe

c:\WINNT\system32\WinDefendor.dll

c:\WINNT\system32\friendly.exe

分析病毒：

VipTray.exe 会从htt://ulink4.dudu.com/setup/iebar.exe（注意：请勿下载！）

下载一个iebar.exe, 并让用户安装。而这个里面捆绑了后门。安装完iebar.exe会修改注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

修改键值system 为 C:\WINNT\system32\friendly.exe ZNKwcxv=

创建BHO

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects

DLL名称为 WinDefendor.dll

同时 VipTray 会注册成系统服务。

服务描述为：

提供基于 Internet explorer 的网络内容。如果此服务被终止，将会失去这些功能和内容。如果此服务被禁用，其他依赖此服务的网络内容将无法正常运行。