Win32.Troj.Reper

病毒別名：Trojan.Reper[KV]

處理時間：

威脅級別：★★

該病毒運用了多種常用的方法獲得運行權。並在每個可寫的邏輯磁碟的根目錄生成autorun.inf檔案，每次用戶打開邏輯磁碟的時候病毒就悄悄地自動運行了。病毒每隔2秒左右就將自己載入到註冊表的啟動項，以使每次開機都運行病毒；病毒還修改文本檔案的關聯程式指向自身，這樣用戶每次打開文本檔案的時候病毒又悄悄地運行起來。病毒會關閉Windows 任務管理器，註冊表編輯器，進程查看器，命令行視窗程式，進程名字中包含字元"進程"、"任務"、"毒"、"木"、"殺"、"task"、"proc"、"wom"、"prcview.exe"、"doctor"、"kill"、等等的進程，這將關閉眾多的反病毒軟體，大大降低了中毒機器的安全性能，給其他病毒大開方便之門。病毒還激活guest帳戶，添加一個管理員帳戶，並且刪除默認的管理員帳戶"Administrator"，為黑客攻擊打開後門。

1.病毒檢查當前目錄，如果是根目錄，就創建Explorer進程，打開當前目錄；如果不是根目錄，就創建互斥體nothing，防止多個實例同時運行。

2.將自身複製為以下檔案（路徑是硬編碼的，如過不存在就釋放不成功）：

%SystemRoot%\svchost.exe

%System%\N0TEPAD.EXE

C:\Documents and Settings\All Users\「開始」選單\程式\啟動\login.pif

C:\Documents and Settings\<當前用戶名>\「開始」選單\程式\啟動\login.pif修改檔案C:\autoexec.bat內容。

並在每個可寫的邏輯磁碟的根目錄生成以下隱藏檔案reper.exe （該檔案是病毒的副本）

autorun.inf

autorun.inf檔案的內容為：

[autorun]

open=reper.exe

當用戶打開磁碟的時候病毒就自動運行了。

3.修改註冊表。

添加啟動項：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

"Services"="%SystemRoot%\svchost.exe"

修改文本檔案關聯程式為病毒檔案：

HKCR\txtfile\shell\open\command\

"默認"="%System%\N0TEPAD.EXE %1"

4.創建兩個執行緒，一個時鐘。

①一個執行緒用來關閉特定的進程：

regedit.exe

cmd.exe

ntvdm.exe

以及進程名中包含任意任意一下字元串的進程：

"task"

"proc"

"進程"

"prcview.exe"

"任務"

"毒"

"wom"

"木馬"

"殺"

"doctor"

"kill"

②另一個進程用來每2分鐘運行一次C:\autoexec.bat。該檔案被修改以後運行，將激活guest帳戶，添加一個管理員帳戶，並且刪除默認的管理員帳戶"Administrator"。

③設定時鐘每隔1200毫秒進行一次複製檔案和註冊表修改。

一般知名防毒軟體都可以查殺

1.進安全模式.

2.刪除上面2中所升成的檔案.

3.修復註冊表成原狀.

4.清理AUTOEXEC.BAT檔案.

5.重新啟動.OK

－－－－－－－－－－－－－－－－－－

將以下命令分別複製到“運行”，執行一次

attrib -h -r -s c:\autorun.inf

del /q c:\antorun.inf

注意，如果還有其他盤也有這個問題，如D糟等，請上面將紅色的c改成D、E等重複做一次即可