Worm.Win32.DownLoad.b

瑞星将该病毒定义为:Worm.Win32.DownLoad.b

病毒所包括的源文件有

c:autorun.inf

c:

iu.exe

c:WINDOWSsystem32Autorun.inf

c:WINDOWSsystem32crsss.exe

以及其它所有盘根目录下有

autorun.inf

niu.exe

其中autorun.inf文件里的内容为

[AutoRun]

open=niu.exe

shellopen=打开(&O)

shellopenCommand=niu.exe

shellopenDefault=1

shellexplore=资源管理器(&X)

shellexploreCommand=niu.EXE

修改系统时间为2000年

添加注册表启动项指向c:WINDOWSsystem32crsss.exe

rem 添加以下注册表项,禁用任务管理器

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableTaskMgr

键值: DWORD: 1 (0x1)

rem 添加以下注册表项,禁用Windows更新程序

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWindowsUpdate DisableWindowsUpdateAccess

键值: DWORD: 1 (0x1)

rem 添加映像关联，导致杀毒软件无法使用

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

rem 修改注册表项，导致无法显示隐藏文件

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN Text

旧: 字符串: "@shell32.dll,-30501"

新: 字符串: "禽兽尚且有半点怜悯之心,而我一点没有,所以我不是禽兽."

rem 修改注册表项，导致无法显示隐藏文件

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue

键值: 字符串: "1"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL DefaultValue

键值: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL HelpID

键值: 字符串: "shell.hlp#51105"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL HKeyRoot

键值: DWORD: 2147483649 (0x80000001)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL RegPath

键值: 字符串: "SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL Text

键值: 字符串: "@shell32.dll,-30500"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL Type

键值: 字符串: "radio"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL ValueName

键值: 字符串: "Hidden"

rem 删除进入安全模式的注册表项，导致你进入安全模式就会蓝屏

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318} 默认

键值: 字符串: "DiskDrive"

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318} 默认

键值: 字符串: "DiskDrive"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318} 默认

键值: 字符串: "DiskDrive"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318} 默认

键值: 字符串: "DiskDrive"

清除niu病毒(病毒源文件包括autorun.inf,niu.exe,crsss.exe)