該病毒是一個使用VC 5.0編寫的病毒程式,長度為180,263位元組,圖示為explorer程式圖示,病毒擴展名為exe,傳播途徑主要移動存儲傳播。
基本介紹
- 外文名:Worm.Win32.AutoRun.j
- 類別:病毒
- 類型:蠕蟲
- 捕獲時間:2007-9-20
基本信息,病毒分析,感染對象,傳播途徑,如何防範,
基本信息
Worm.Win32.AutoRun.j蠕蟲程式
病毒:Worm.Win32.AutoRun.j
病毒分析
當病毒被激活後,在%systemroot%/system32下生成explorer.exe檔案,其檔案類型為隱藏的系統檔案,修改註冊表中HKCU及HKLM下explorer相關項使得用戶無法查找到其病毒檔案,開啟一個定時器,每秒運行病毒一次,用戶無法通過修改註冊表及資料夾選項設定查看系統隱藏檔案。遍歷計算機的所有盤符,在各個盤符的根目錄下生成一個autorun.inf檔案和thumbs.db。com檔案,使得用戶打開各個盤符以及套用隨身碟等各種移動設備時,病毒能夠傳播運行。
病毒修改的註冊表項:
項:HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
鍵值:ShowSuperHidden
數值數據:0
項:HKCU\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
鍵值:SuperHidden
數值數據:0
項:HKCU \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
鍵值:HideFileExt
數值數據:1
項:HKLM\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ SuperHidden
鍵值:UncheckedValue
數值數據:0
項:HKLM\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ HideFileExt
鍵值:UncheckedValue
數值數據:1
項:HK_USER\ \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
鍵值:ShowSuperHidden
數值數據:0
項:HK_USER\ \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
鍵值:HideFileExt
數值數據:1
AutoRun.inf 檔案內容如下:
[AutoRun]
open=Thumbs.db。com
shellexecute=Thumbs.db。com
shell\Auto\command=Thumbs.db。com
shell=Auto
