病毒名稱: Worm.Win32.AutoRun.cnv病毒類型: 蠕蟲檔案 MD5: FBCE46FA53201B02CCC5C495829CB6D5檔案長度: 28,672 位元組感染系統: Windows98以上版本開發工具: Microsoft Visual C++ 6.0加殼類型: 未知殼
基本介紹
- 中文名:Worm.Win32.AutoRun.cnv
- 檔案長度:28,672 位元組
- 感染系統:Windows98以上版本
- 開發工具:Microsoft Visual C++ 6.0
病毒描述,行為分析,
病毒描述
該病毒屬蠕蟲類。病毒運行後複製自身到%System32%及附屬目錄下;複製自身到C至K盤的根目錄下,並衍生autorun.inf檔案,使病毒在雙擊打開盤符時運行;在當前用戶的臨時資料夾下,衍生rs.bat檔案;遍歷進程列表,關閉指定的進程;嘗試關閉標題中含有指定字元串的活動視窗;修改註冊表,添加兩處啟動項,創建一項服務,鎖定隱藏檔案的顯示方式,使用戶無法通過“資料夾選項”顯示隱藏檔案;程式運行過程中,由於自身問題會彈出錯誤對話框,使器根目錄在打開時,將無法打開只彈出該對話框;程式運行後嘗試刪除自身。連線網路下載檔案,但所有檔案都已經無法下載。
行為分析
本地行為:
1、檔案運行後會釋放以下檔案
%System%drivers\svchost.exe 28,672 位元組
%System%\microsoft.exe 28,672 位元組
%System%\SP00LV.exe 28,672 位元組
%Documents and Settings%\Administrator\Local Settings\Temp\rs.bat 105 位元組
%HomeDrive%\setup.exe 28,672 位元組
%HomeDrive%\AutoRun.inf 163 位元組
%DriveLetter%\setup.exe 28,672 位元組
%DriveLetter%\AutoRun.inf 163 位元組
2、新增註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
註冊表值: "Internat"
類型: REG_SZ
值: "C:\WINDOWS\system32\microsoft.exe"
描述: 啟動項,使病毒檔案在當該系統的所有用戶登入該系統時,運行病毒檔案。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
註冊表值: "Program Files"
類型: REG_SZ
值: "C:\WINDOWS\system32\SP00LV.exe"
描述: 啟動項,使病毒檔案在當該系統的所有用戶登入該系統時,運行病毒檔案。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]
註冊表值: "DisplayName
類型: REG_SZ
值:"Winnet COM+"
描述: 服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]
註冊表值: "ImagePath"
類型: REG_SZ
值:"C:\WINDOWS\system32\drivers\svchost.exe"
描述: 服務啟動的映像路徑
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]
註冊表值: "Start"
類型: DWORD
值:"2"
描述:服務的啟動方式。
3、修改註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
新建鍵值:字串:"CheckedValue"="1"
原鍵值:字串:"CheckedValue"="0"
4、被監視的進程名稱列表
360tray.exe、RavTask.exe、RavStub.exe、RavMonD.exe、RavMon.exe、CCenter.exe、rfwstub.exe、rfwProxy.exe、rfwsrv.exe、rfwmain.exe、Ras.exe、runiep.exe
5、標題欄中被監視的字元串列表
安全衛士、掃描、專殺、註冊表、Process 進程、毒、木馬、防禦、防火牆、病毒、檢測、Firewall、virus、anti、金山、江民、卡巴斯基、worm、防毒、360、專殺、微點、micropoint、剋星、廣告、Kaspersky、AVK F-Secure、eScan、Norton、諾頓、McAfee、Virus、Panda、熊貓、Trojan、Door、AVG
6、rs.bat檔案代碼
@echo off
:start
if not exist ""%1"" goto done
del /F ""%1""
del ""%1""
goto start
:done
del /F %t
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄
清除方案:
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天防線附屬工具Atool檔案管理功能刪除病毒檔案
%System%drivers\svchost.exe
%System%\microsoft.exe
%System%\SP00LV.exe
%Documents and Settings%\Administrator\Local Settings\Temp\rs.bat
%HomeDrive%\setup.exe
%HomeDrive%\AutoRun.inf
%DriveLetter%\setup.exe
%DriveLetter%\AutoRun.inf
(2) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
刪除如下註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
註冊表值: "Internat"
類型: REG_SZ
值: "C:\WINDOWS\system32\microsoft.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
註冊表值: "Program Files"
類型: REG_SZ
值: "C:\WINDOWS\system32\SP00LV.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]
註冊表值: "DisplayName
類型: REG_SZ
值:"Winnet COM+"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]
註冊表值: "ImagePath"
類型: REG_SZ
值:"C:\WINDOWS\system32\drivers\svchost.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]
註冊表值: "Start"
類型: DWORD
值:"2"
恢復如下註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
新建鍵值:字串:"CheckedValue"="1"
原鍵值:字串:"CheckedValue"="0"
