Worm.Win32.AutoRun.j蠕虫程序
病毒:Worm.Win32.AutoRun.j
捕获时间
2007-9-20
病毒症状
该病毒是一个使用VC 5.0编写的病毒程序,长度为180,263字节,图标为explorer程序图标,病毒扩展名为exe,传播途径主要移动存储传播。
病毒分析
当病毒被激活后,在%systemroot%/system32下生成explorer.exe文件,其文件类型为隐藏的系统文件,修改注册表中HKCU及HKLM下explorer相关项使得用户无法查找到其病毒文件,开启一个定时器,每秒运行病毒一次,用户无法通过修改注册表及文件夹选项设置查看系统隐藏文件。遍历计算机的所有盘符,在各个盘符的根目录下生成一个autorun.inf文件和thumbs.db.com文件,使得用户打开各个盘符以及应用U盘等各种移动设备时,病毒能够传播运行。
病毒修改的注册表项:
项:HKCU SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
键值:ShowSuperHidden
数值数据:0
项:HKCU SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
键值:SuperHidden
数值数据:0
项:HKCU SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
键值:HideFileExt
数值数据:1
项:HKLM SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced SuperHidden
键值:UncheckedValue
数值数据:0
项:HKLM SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced HideFileExt
键值:UncheckedValue
数值数据:1
项:HK_USER SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
键值:ShowSuperHidden
数值数据:0
项:HK_USER SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
键值:HideFileExt
数值数据:1
AutoRun.inf 文件内容如下:
[AutoRun]
open=Thumbs.db.com
shellexecute=Thumbs.db.com
shellAutocommand=Thumbs.db.com
shell=Auto
感染对象
Windows 98 Windows MEWindows 2000/Windows XP/Windows 2003
传播途径
网页挂马,文件捆绑,移动存储
如何防范
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能.够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理
如果您已经将微点主动防御软件升级到最.新版本,微点将报警提示您发现“Worm.Win32.AutoRun.j”,请直接选择删除
使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性,会干扰某些.杀毒软件运行,如果您的杀毒软件已经无法使用,您也可以尝试安装微点解决。