病毒名称：蠕虫病毒Win32.Subaso Family

其它名称：

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：中

具体介绍：

病毒特性

Win32/Subaso是一族通过即时消息传播的蠕虫。

感染方式

运行时，Win32/Subaso 在%Windows% 和 %System%目录中生成4个副本。不同的变体使用不同的文件名，以下是一些变体使用的文件名：

Antivirus32.exe

Avconsol.exe

Hide32.exe

ZaZ.exe

Zap.exe

Ttt.exe

Diup.exe

随后蠕虫修改以下注册表，为了在每次系统启动时运行病毒：

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\AVantivirus = "<worm executable>"

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\WinService = "<worm executable>"

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Servicewin = "<worm executable>"

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\System = "<worm executable>"

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

传播方式

通过即时消息传播

为了能够传播，Win32/Subaso首先尝试从不同的站点下载几个文件。这些文件包括为蠕虫发送信息配置的信息，例如信息内容和下载蠕虫副本的链接。以下是各个变体下载的文件名：

1.txt

2.txt

3.txt

4.txt

5.txt

jif.txt

当这些文件被下载时，可能使用以下文件名保存到本地机器：

SysUpdate.txt

MSysUpdate.txt

USysUpdate.txt

ConSysUpdate.txt

Update.txt

WinUp.txt

SysArc.exe

以下是蠕虫发送即时消息的一个例子：

mira esta animacion de bush :P

其中还包含一个链接，链接到一个蠕虫副本：

http://<host >/Bush-gracioso.exe

危害

下载其它恶意程序

Subaso下载很多文件到被感染机器上。一些文件包含信息内容，蠕虫将用来发送蠕虫副本的下载链接，蠕虫还可能下载Win32/AdClicker变体。

清除：

KILL安全胄甲最新版本可检测/清除此病毒。