Virus.Win32.LYW.a

病毒名称：Virus.Win32.LYW.a

截获时间：2007-9-2

本报告更新时间：2007-9-2

入库版本：19.38.62

类型：病毒

感染的操作系统：Windows 9x/NT/2000/XP/2003/Vista

这是一个由Borland Delphi 6.0 - 7.0编写的蠕虫病毒，病毒利用修改过的NsPACK程序进行保护，该病毒的主要作用就是从网络上下载病毒来感染用户电脑并窃取用户电脑里的信息。病毒还会遍历本地硬盘，感染所有类型为 "EXE"和"SCR"的文件。

威胁情况：

传播级别：高

已感染案例：0-100

已经感染此病毒网站数量：0-5

全球化传播态势：高

清除难度：困难

破坏力：高

破坏手段：感染

病毒运行后，首先先用CreateMutex来查找名称"kljsdown",如发现系统中已经存在该实例,则直接退出,保证系统中只有一个程序在运行.

病毒利用FindWindow查找当前进程中是否有IEXPLORE存在,如没有该进程,则使用ShellExecute启动一个IE.并使用OpenProcess打开该进程,利用VirtualAllocEx在内在中申请一块空间,把一段代码写进去,并利用CreteRemoteThread运行写入的代码.

字串5

写入的代码内容是:

从http://******.cn/m1.exe;

http://******testkl.cn/m2.exe;

http://*****.cn/m3.exe"这些网址上下载病毒.

并分别保存在"c:\Program Files\Common Files\m1.exe";"c:\Program Files

\Common Files\m2.exe";"c:\Program Files\Common Files\m3.exe"这三个位置,然后运行.

(由于以上三个网址的连接已经失效,所以我们无法得知这三个病毒的具体作用是什么,但是只要病毒作者稍加修改地址,就可以重新生效). 字串5

病毒还会起两个线程.

其中线程1的作用就是入可移动存储设备里写入病毒本身和autorun.inf,autorun.vbs.

该线程5分钟循环执行一次.

其中autorun.inf的内容为:

[AutoRun]

open=WScript.exe AutoRun.vbs

shellexecute=WScript.exe AutoRun.vbs

shellAutocommand=WScript.exe AutoRun.vbs

字串9

autourn.vbs的内容为:

Dim WshShell

Set WshShell = Wscript.CreateObject("Wscript.Shell")

return=WshShell.Run("AutoRun.exe",2,false)

return=WshShell.Run("",3,false)

字串7

线程2的作用是感染"EXE"和"SCR"类型的文件. 字串2

病毒会遍历本地硬盘所有类型为 "EXE"和"SCR"的文件,找到一个文件后,病毒先判断此文件是否为PE文件.如果是,则遍历文件所有的节信息,查找是否会有名为".LWY"的节名,如果有,则是已经感染的文件,跳过该文件继续查找.如果没有,病毒在文件添加一个".LWY"的节,并在里面写入一段已写好的病毒代码,修改程序入口点,感染该文件. 字串8

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

1 . 瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.38.62版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。 字串6