微点交流论坛 - 病毒快报 - 木马程序 Worm.Win32.Autorun.ei

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 木马程序 Worm.Win32.Autorun.ei

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 木马程序 Worm.Win32.Autorun.ei

病毒名称

Worm.Win32.Autorun.ei

捕获时间

2007-10-25

病毒症状

　　该病毒是一个使用delphi编写的蠕虫程序，长度为36,219字节，图标为windows默认可执行文件图标，病毒扩展名为exe，传播途径主要为网络传播、移动储存。

病毒分析：

　　该蠕虫程序激活后，在C:\Program Files\Common Files\System目录下生成hmbduoj.exe文件，在C:\Program Files\Common Files\Microsoft Shared目录下生成tygxhqb.exe文件；在注册表项HKLM下的RUN中新建名为gvdetru的子项，以达到自启动的目的。在HKLM下的Image File Execution Options中新建多项以达到映像劫持各种杀毒软件和系统安全软件的目的；创建进程分别运行这两个程序，两个病毒进程相互守护；利用一个命令行删除自身并退出。
　　hmbduoj.exe运行后，关闭windows防火墙，关闭windows安全中心、系统帮助以及Windows自动更新服务；监视用户打开的窗体，若发现用户打开的窗体名带有“病毒”、“木马”、“安全”、“克星”等字体，则强行关闭；检测用户的网络状态，联网下载更多的病毒木马文件，并运行；修改注册表，不显示系统及隐藏文件，使用户无法查看病毒文件；遍历所有盘符，获取驱动器类型，在本地磁盘和可移动设备的中生成autorun.inf和pfcexkt.exe文件，利用Windows自动播放功能进行传播。

病毒添加的注册表项：

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：gvdetru
指向文件：C:\Program Files\Common Files\System\hmbduoj.exe

Autorun.inf文件内容如下：

[AutoRun]
open=pfcexkt.exe
shell\open=打开(&O)
shell\open\Command=pfcexkt.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=pfcexkt.exe

感染对象

Windows 98/Windows Me/Windows 2000/Windows XP/Windows 2003

传播途径

网络传播，移动储存

安全提示

　　已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

图1

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Worm.Win32.Autorun.ei”，请直接选择删除（如图2）。

图2

　　使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性，会导致某些杀毒软件无法正常运行，如果您的杀毒软件已经无法正常运行，您也可以尝试安装微点解决。

　　没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。

[ Last edited by pioneer on 2007-10-29 at 10:38 ]

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2007-10-26 17:42

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号