病毒名称
Worm.Win32.AutoRun.dz
捕获时间
2007-10-24
病毒症状
该病毒是一个使用Delphi编写的蠕虫程序,长度为27,136字节,图标为常规可执行文件图标,病毒扩展名为exe。
病毒分析
该蠕虫程序激活后,在%systemroot%/system32目录下生成systom.exe文件;添加注册表启动项,使systom.exe随系统自动启动;修改注册表项来隐藏病毒文件;修改注册表锁定IE主页,使IE主页变为灰白色,无法修改;修改注册表关闭系统自动更新功能;修改注册表禁用任务管理器;修改系统时间,使部分杀软因过期而无法正常使用;在各个分区和可移动存储介质中释放病毒文件sos.exe以及autorun.inf,属性为隐藏,试图利用Windows自动播放功能进行传播;通过批处理删除自身。
病毒修改的注册表项:
项:HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
键值:crsss
指向文件:Systom.exe
项:HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/WindowsUpdate/
键值:DisableWindowsUpdateAccess
键值数值:1
项:HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System/
键值:DisableTaskMgr
键值数值:1
项:HKCU/Software/Microsoft/Windows/CurrentVersion/EXPlorer/Advanced/
键值:Hidden
键值数值:0
项:HKCU/Software/Microsoft/Windows/CurrentVersion/EXPlorer/Advanced/
键值:HideFileExt
键值数值:1
项:HKCU/Software/Microsoft/Windows/CurrentVersion/EXPlorer/Advanced/
键值:ShowSuperHidden
键值数值:0
项:HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/
键值:CheckedValue
键值数值:0
项:HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN/
键值:CheckedValue
键值数值:2
项:HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel/
键值:HomePage
键值数值:1
Autorun.inf内容如下:
[AutoRun]
open=sos.exe
shell/open=打开(&O)
shell/open/Command=sos.exe
shell/open/Default=1
shell/explore=资源管理器(&X)
shell/explore/Command=sos.exe
感染对象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
传播途径
网页挂马、可移动存储
安全提示
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);
Worm.Win32.AutoRun.dz
捕获时间
2007-10-24
病毒症状
该病毒是一个使用Delphi编写的蠕虫程序,长度为27,136字节,图标为常规可执行文件图标,病毒扩展名为exe。
病毒分析
该蠕虫程序激活后,在%systemroot%/system32目录下生成systom.exe文件;添加注册表启动项,使systom.exe随系统自动启动;修改注册表项来隐藏病毒文件;修改注册表锁定IE主页,使IE主页变为灰白色,无法修改;修改注册表关闭系统自动更新功能;修改注册表禁用任务管理器;修改系统时间,使部分杀软因过期而无法正常使用;在各个分区和可移动存储介质中释放病毒文件sos.exe以及autorun.inf,属性为隐藏,试图利用Windows自动播放功能进行传播;通过批处理删除自身。
病毒修改的注册表项:
项:HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/
键值:crsss
指向文件:Systom.exe
项:HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/WindowsUpdate/
键值:DisableWindowsUpdateAccess
键值数值:1
项:HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System/
键值:DisableTaskMgr
键值数值:1
项:HKCU/Software/Microsoft/Windows/CurrentVersion/EXPlorer/Advanced/
键值:Hidden
键值数值:0
项:HKCU/Software/Microsoft/Windows/CurrentVersion/EXPlorer/Advanced/
键值:HideFileExt
键值数值:1
项:HKCU/Software/Microsoft/Windows/CurrentVersion/EXPlorer/Advanced/
键值:ShowSuperHidden
键值数值:0
项:HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL/
键值:CheckedValue
键值数值:0
项:HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN/
键值:CheckedValue
键值数值:2
项:HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel/
键值:HomePage
键值数值:1
Autorun.inf内容如下:
[AutoRun]
open=sos.exe
shell/open=打开(&O)
shell/open/Command=sos.exe
shell/open/Default=1
shell/explore=资源管理器(&X)
shell/explore/Command=sos.exe
感染对象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
传播途径
网页挂马、可移动存储
安全提示
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);