病毒名称(中文):
病毒别名:
Worm.Win32.VB.ab[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
98304
影响系统:
Win9xWinNT
病毒行为:
这是一个用VisualBasic编写的蠕虫病毒,该病毒通过网络共享传播。该病毒除了将自己的3个副本拷贝到系统目录之外,还将一个副本和一个AutoRun.inf文件释放到每个磁盘驱动器的根目录下,而AutoRun.inf保证了每次访问这些磁盘驱动器该病毒都会得到运行。病毒会修改.reg、.inf和.txt的文件关联到病毒,禁止用户对注册表进行编辑,查找网络中可写的共享目录,并将自己复制到这些目录中,以达到传播自己的目的。
1)释放病毒副本:
%System%\txt.exe
%System%\Inf.exe
%System%\SvcH0st.exe
2)添加启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"WinServices"="SvcH0st.exe"
3)在每个磁盘驱动器的根目录下生成“[磁盘驱动器号].inf.exe”和“AutoRun.inf”2个文件,前者是病毒副本,后者的内容如下:
[autorun]
open=[磁盘驱动器号].inf.exe
该.inf文件使得每次访问该驱动器时病毒都会得到运行。
4)添加注册表:
HKEY_CLASSES_ROOT\Applications\Inf.exe\shell
"FriendlyCache"="记"
HKEY_CLASSES_ROOT\Applications\txt.exe\shell
"FriendlyCache"="记"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
"%System%\txt.exe"="记"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
"%System%\Inf.exe"="记"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\Inf.exe\shell
"FriendlyCache"="记"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\txt.exe\shell
"FriendlyCache"="记"
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\Windows\ShellNoRoamMUICache
"%System%\txt.exe"="记"
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\Windows\ShellNoRoam\MUICache
"%System%\Inf.exe"="记"
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools"=dword:00000001
5)在注册表中修改.reg、.inf和.txt的文件关联,使得每次打开这些文件的时候病毒都会得到运行:
HKEY_CLASSES_ROOT\.reg
"@"="txtfile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg
"@"="txtfile"
HKEY_CLASSES_ROOT\inffile\shell\open\command
"@"="inf.exe%1"
HKEY_CLASSES_ROOT\txtfile\shell\open\command
"@"="txt.exe%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command
"@"="inf.exe%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
"@"="txt.exe%1"