Worm.Win32.Autorun.jph

簡介

病毒名稱：Worm.Win32.Autorun.jph

類型：病毒

感染的作業系統：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威脅情況：

傳播級別：低

全球化傳播態勢：低

清除難度：困難

破壞力：低

破壞手段：通過可移動磁碟傳播；下載可疑檔案

此程式為Worm類型程式

1.病毒自複製：病毒運行後複製自身到%system%目錄，命名為cross.exe。

2.開機自啟動：病毒通過函式WinExec調用系統註冊表工具reg.exe修改註冊表實現開機自啟動。修改的鍵值如下:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

“crsss”=%system%\cross.exe

3.可移動磁碟傳播：該病毒會向磁碟根目錄寫入自身命名為TNT.Exe和與之對應的Autorun.inf檔案，Autorun.inf檔案的內容如下：

[AuToRun]

open=TNT.Exe

shell\open=打開(&O)

shell\open\Command=TNT.Exe

shell\open\Default=1

當用戶打開磁碟會運行該病毒檔案

4.下載可疑檔案：該病毒調用URLDownloadToFile下載http://n.XXXX.com/xx.dll保存到%system%\xx.dll。

5.瀏覽指定網頁：調用CreateProcess創建iexplore.exe進程，後台瀏覽如下網頁。

http://XXXX.com/xx/TJ.ASP

http://n.XXXX.com/xx.htm

1 安裝正版防毒軟體、個人防火牆和卡卡上網安全助手,並及時升級，瑞星防毒軟體每天至少升級三次。

2 使用“瑞星系統安全漏洞掃描”，打好補丁，彌補系統漏洞。

3 不瀏覽不良網站，不隨意下載安裝可疑外掛程式。

4 不接收QQ、MSN、Emial等傳來的可疑檔案。

5 上網時打開防毒軟體實時監控功能。

6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中，可以有效保護密碼安全。

清除辦法：

安裝瑞星防毒軟體，升級到20.23.11版以上，對電腦進行全盤掃描，按照軟體提示進行操作，即可徹底查殺。