微点交流论坛

标题: 蠕虫程序 Worm.Win32.AutoRun.fg [打印本页]

作者: pioneer 时间: 2007-11-7 17:57 标题: 蠕虫程序 Worm.Win32.AutoRun.fg

病毒名称

Worm.Win32.AutoRun.fg

捕获时间

2007-11-06

病毒症状

   该病毒是一个使用VC++5.0编写的蠕虫程序，长度为168,033字节，图标为蓝白红三色彩旗图标，病毒扩展名为exe，主要通过网络、移动存储传播。

病毒分析

   该蠕虫程序激活后，在%systemroot%\system32下生成mianhou.exe文件；在c:\Documents and Settings\All Users\「开始」菜单\程序\启动文件夹下生成mianhou.exe文件，利用全局文件夹启动使得所有用户登录时都会激活该病毒；修改explorer相关注册表项，使得病毒随explorer进程自动启动；连接远程服务器下载并运行多种病毒木马程序；修改注册表项，使得用户无法查看隐藏文件；遍历所有盘符，检查驱动器类型，在移动设备中新建一名为recyc1e.{645FF040-5081-101B-9F08-00AA002F954E}的回收站文件夹，将自身复制到该回收站目录下，同时在移动设备根目录下生成一autorun.inf文件，利用Windows自动播放功能进行传播。

病毒修改的注册表项

项：HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
键值：ShowSuperHidden
数值数据：0
项：HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
键值： Hidden
数值数据：0

AutoRun.inf 文件内容如下：

[autorun]
open=.\recyc1e.{645FF040-5081-101B-9F08-00AA002F954E}\mianhou.exe
Shell\1=&打开(O)
Shell\1\Command=.\recyc1e.{645FF040-5081-101B-9F08-00AA002F954E}\mianhou.exe
Shellexecute=.\recyc1e.{645FF040-5081-101B-9F08-00AA002F954E}\mianhou.exe

感染对象

Windows 98/Windows Me/Windows 2000/Windows XP/Windows 2003

传播途径

网络传播，移动存储传播

安全提示

   已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

图1

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Worm.Win32.AutoRun.fg”，请直接选择删除（如图2）。

                              图2

   使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

   没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件有效清除各类未知病毒和新病毒。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn