瑞星将该病毒定义为:Worm.Win32.DownLoad.b
病毒所包括的源文件有
c:autorun.inf
c:
iu.exe
c:WINDOWSsystem32Autorun.inf
c:WINDOWSsystem32crsss.exe
以及其它所有盘根目录下有
autorun.inf
niu.exe
其中autorun.inf文件里的内容为
[AutoRun]
open=niu.exe
shellopen=打开(&O)
shellopenCommand=niu.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=niu.EXE
修改系统时间为2000年
添加注册表启动项指向c:WINDOWSsystem32crsss.exe
rem 添加以下注册表项,禁用任务管理器
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableTaskMgr
键值: DWORD: 1 (0x1)
rem 添加以下注册表项,禁用Windows更新程序
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate DisableWindowsUpdateAccess
键值: DWORD: 1 (0x1)
rem 添加映像关联,导致杀毒软件无法使用
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
rem 修改注册表项,导致无法显示隐藏文件
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN Text
旧: 字符串: "@shell32.dll,-30501"
新: 字符串: "禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽."
rem 修改注册表项,导致无法显示隐藏文件
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue
键值: 字符串: "1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL DefaultValue
键值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL HelpID
键值: 字符串: "shell.hlp#51105"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL HKeyRoot
键值: DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL RegPath
键值: 字符串: "SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL Text
键值: 字符串: "@shell32.dll,-30500"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL Type
键值: 字符串: "radio"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL ValueName
键值: 字符串: "Hidden"
rem 删除进入安全模式的注册表项,导致你进入安全模式就会蓝屏
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318} 默认
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318} 默认
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318} 默认
键值: 字符串: "DiskDrive"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318} 默认
键值: 字符串: "DiskDrive"
清除niu病毒(病毒源文件包括autorun.inf,niu.exe,crsss.exe)