概述
病毒別名:Worm.Win32.VB.ab【AVP】
處理時間:
威脅級別:★★
中文名稱:
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
特性
這是一個用Visual Basic編寫的蠕蟲病毒,該病毒通過網路共享傳播。該病毒除了將自己的3個副本拷貝到系統目錄之外,還將一個副本和一個AutoRun.inf檔案釋放到每個磁碟驅動器的根目錄下,而AutoRun.inf保證了每次訪問這些磁碟驅動器該病毒都會得到運行。病毒會修改.reg、.inf和.txt的檔案關聯到病毒,禁止用戶對註冊表進行編輯,查找網路中可寫的已分享資料夾,並將自己複製到這些目錄中,以達到傳播自己的目的。
1)釋放病毒副本:
%System%\txt.exe
%System%\Inf.exe
%System%\SvcH0st.exe
2)添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"WinServices"="SvcH0st.exe"
3)在每個磁碟驅動器的根目錄下生成“【磁碟驅動器號】.inf.exe”和“AutoRun.inf”2個檔案,前者是病毒副本,後者的內容如下:
【autorun】
open=【磁碟驅動器號】.inf.exe
該.inf檔案使得每次訪問該驅動器時病毒都會得到運行。
4)添加註冊表:
HKEY_CLASSES_ROOT\Applications\Inf.exe\shell
"FriendlyCache"="記"
HKEY_CLASSES_ROOT\Applications\txt.exe\shell
"FriendlyCache"="記"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
"%System%\txt.exe"="記"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
"%System%\Inf.exe"="記"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools"=dword:00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\Inf.exe\shell
"FriendlyCache"="記"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\txt.exe\shell
"FriendlyCache"="記"
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\Windows\ShellNoRoamMUICache
"%System%\txt.exe"="記"
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\Windows\ShellNoRoam\MUICache
"%System%\Inf.exe"="記"
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools"=dword:00000001
5)在註冊表中修改.reg、.inf和.txt的檔案關聯,使得每次打開這些檔案的時候病毒都會得到運行:
HKEY_CLASSES_ROOT\.reg
"@"="txtfile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg
"@"="txtfile"
HKEY_CLASSES_ROOT\inffile\shell\open\command
"@"="inf.exe %1"
HKEY_CLASSES_ROOT\txtfile\shell\open\command
"@"="txt.exe %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\open\command
"@"="inf.exe %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
"@"="txt.exe %1"
