病毒名称:
W32.Antiqfx.F.Worm
类别: 蠕虫
病毒资料:
受影响系统:Windows 95, Windows 98, Windows NT, windows 2000, Windows XP, Windows Me
不受影响系统:Macintosh, OS/2, Unix, Linux
病毒危害:
删除文件:会删除扩展名为.BTh, .mar, .gly, .isp, .pos, .bru, .que, .cat, .lut, .lso, .qfo的文件
病毒传播:
共享磁盘:将病毒副本复制到远端计算机的“启动”目录下,名为Mscdex.exe。
技术特征:
该病毒是用Microsoft C++ 编写且受HASP层保护,它能通过网络进行传播。运行后,它会:
1.将自己复制成C:%windir%Mscdex.exe
2.添加键值cdrom C:%Windir%mscdex.exe
至如下注册表中:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
这使得Windows每次启动时,病毒都会自动运行。
病毒还有一个互斥体来确保它同一时间只能运行一个病毒副本。假如病毒再次运行时有一个副本正在运行,那么新的副本就会终止。
3.搜索所有本地磁盘的所有目录,查找并删除如下扩展名的文件:
.bth
.mar
.gly
.isp
.pos
.bru
.que
.cat
.lut
.lso
.qfo
同时会删除如下文件:
Qfxwin.exe
Qfxwin.ini
Qfxwin1.dll
Qfxcc.dll
Aver.ini
Amwin1.dll
Amcc.dll
Avermagic.exe
Amagic.exe
该病毒只在本地网络中蔓延。它会列举网络中的资源并将自己复制到远端计算机的“启动”目录下。有时它还会修改自动批处理文件Autoexec.bat,加入如下语句:
@echo off
mscdex.exe
远端计算机运行的是Windows NT系统,则病毒将自己复制为WinntProfilesAdministratorStart MenuProgramsStartupMscdex.exe 或
WinntProfilesAll UsersStart MenuProgramsStartupMscdex.exe
若运行的是Windows 95/98,则其复制为WindowsStart MenuProgramsStartupMscdex.exe
病毒的清除法:
1.更新病毒库。
2.重启机器至安全模式。
3.进行全系统扫毒,删除找到的W32.Antiqfx.F.Worm文件。
4.恢复被病毒删除的必要文件。
5.删除注册表
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
中的键值:cdrom C:%Windir%mscdex.exe
病毒演示:
病毒FAQ:
以共享网络传播 病毒“Antiqfx”会删文件。
发现日期:
2002-11-4