Worm.Win32.VB.ao

病毒名稱：Worm.Win32.VB.ao

感染的作業系統：Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

傳播級別：高

全球化傳播態勢：中

清除難度：容易

破壞力：高

破壞手段：下載病毒執行

360safe.exe,360tray.exe,kmailmon.exe,

kavstart.exe,clsmn.exe,client.exe,pubwin.exe.。找到後，就直接用TerminateProcess關閉這些安全軟體的進程。

病毒會在%SYSTEM%目錄中釋放alcwzrd.exe,inetres.exe,notep.exe,SoundMan.exe

病毒會執行如下的命令，關閉一些安全軟體的服務，使這些安全軟體失效。

cmd.exe /c net stop shaRedaccess

cmd.exe /c net stop KPfwSvc

cmd.exe /c net stop KWatchsvc

cmd.exe /c net stop McShield

cmd.exe /c net stop "Norton AntiVirUs Server"

cmd.exe /c del %SystemRoot%\system32\updeta.exe

病毒會通過InternetReadFile,從http://www.webyE163.cn/zb/2.txt這個網址上讀取需要下載的檔案列表，然後用URLDownLoadFile按照列表上的地址逐個下載，並保存在本機的%SYSTEM%目錄中，再執行。由於列表網址已經失效，所以我們無法得知需要下載的程式都是什麼。

病毒會修改後綴".txt"的關聯項，使用戶在打開txt檔案的時候就會自動運行病毒，如下：

HKEY_CLASSES_ROOT\txtfile\shell\open\command

\\notep.exe %1

同時這個病毒還有傳播的功能，它會向D糟寫入auto.exe(也就是病毒本身)和autorun.inf,其中autorun.inf內容為：

[AutoRun]

open=auto.exe

shell\Auto\command=auto.exe

shellexecute=auto.exe

shell\open\Command=auto.exe

shell\explore\Command=auto.exe

shell\find\Command=auto.exe 字串8

1 安裝正版防毒軟體、個人防火牆和卡卡上網安全助手,並及時升級，瑞星防毒軟體每天至少升級三次。 字串1

2 使用“瑞星系統安全漏洞掃描”，打好補丁，彌補系統漏洞。 字串3

3 不瀏覽不良網站，不隨意下載安裝可疑外掛程式。 字串4

4 不接收QQ、MSN、Emial等傳來的可疑檔案。 字串3

5 上網時打開防毒軟體實時監控功能。 字串7

6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中，可以有效保護密碼安全。 字串2

1 . 瑞星防毒軟體清除辦法：

安裝瑞星防毒軟體，升級到19.39.30版以上，對電腦進行全盤掃描，按照軟體提示進行操作，即可徹底查殺。