这是一个感染型脚本病毒。

1.初始化：

（1）读取下列注册表内容，将Username的值赋给GetUserName，否则将其值设为Administrator；

"HKEY_CURRENT_USER\\Software\\Microsoft\\Active Setup\\Installed Components\\

{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\\Username"

（2）读取下列注册表内容赋于GetFSOName，否则将GetUserName的值设为Scripting.FileSystemObject；

HKEY_CLASSES_ROOT\\CLSID\\{0D43FE01-F093-11CF-8940-00A0C9054228}\\ProgID\\；

（3）读取%system%目录下%GetUserName%.ini文件第三行的数据，如果为Admin则弹出内容为"You Are Admin!!! Your Computer Will Not Be Infected!!! "的消息框；并提示用户输入相应数值进行如下操作： "0:退出； 1:监视系统； 2:传染文件, SuperVirus脚本测试!"

2.运行后具体病毒行为：

（1）运行病毒病毒会将自身副本复制到如下系统目录，并将其属性设置为系统、隐藏：

%WINNT%\\%GetUserName%.vbs；

%system%\\%GetUserName%.vbs；

各个分区根目录的%GetUserName%.vbs；

（2）遍历磁盘，当磁盘类型为DRIVE_NO_ROOT_DIR，DRIVE_REMOVABLE，DRIVE_FIXED时生成Autorun.inf，目的为使得用户采用鼠标双击、右键打开和右键资源管理器打开文件时，将病毒文件运行起来；

（3）生成%system32%\\%GetUserName%.ini，这是病毒的配置文件。

（4）感染和破坏过程如下：

病毒运行后会遍历磁盘将含有成人色情词汇且扩展名为"mpg", "rmvb", "avi", "rm"的文件删除。

遍历磁盘中扩展名为"hta", "htm" , "html" , "asp", "vbs"的文件，并将自身插入到这些文件的头部，生成有效脚本文件实现感染。该病毒在感染前会首先判断系统中的脚本是否已经被感染，该脚本感染后，会将感染标记标记在脚本的指定位置，不重复感染。

（5）修改注册表：

<1>添加自身的启动加载项：

"HKEY_CURRENT_USER\\SoftWare\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\Load" 值为%SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1

<2>修改文件关联：

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（类型）

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\hlpfile\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（类型）

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\regfile\\shell\\open\\command\\",

%SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（类型）

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\chm.file\\shell\\open\\command\\", %SystemRoot%\\System32\\WScript.exe " %WINNT%\\%GetUserName%.vbs " %1（值），"REG_EXPAND_SZ"（类型）

<3>修改浏览器显示文件夹属性，隐藏文件：

"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue"，0（值）, "REG_DWORD"（类型）

"HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

\\ShowSuperHidden"，0（值）, "REG_DWORD"（类型）

<4>打开系统自动播放功能： "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Policies\\Explorer\oDriveTypeAutoRun"，129（值）, "REG_DWORD"（类型）

（6）病毒具有监视系统功能，当用户选择监视系统时，病毒会监视如下的进程"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"，发现后就结束该进程，然后执行感染功能；

（7）病毒将记录感染脚本的数量，当感染脚本的数量超过200时，会自动弹出消息框，内容为"您已有超过2000个文件被感染!不过请放心，此病毒很容易被清除!请联系418465***-_- !"；

（8）病毒将感染文件的信息记录到%system %目录下的%GetUserName%.ini中，如感染日期等;

（9）病毒被其设计者划分为几个主要个功能模块，这些模块以指定的串作为开头和结尾的标志，病毒实现这些模块位置在感染过程中的相互位置变换，以及模块标志的命名变化。

3．该病毒特点如下：

（1）病毒实现感染过程中的模块位置变换，增加部分杀毒软件公司的处理难度；

（2）病毒有自身的版本，当用户运行该病毒的更高版本时，其各系统盘的副本会实现替换更新，其Autorun.inf文件的文件指向也会随之变更；

（3）病毒体内本身预留了杀毒和系统注册表恢复的代码，感染后会提示用户联系其作者索取杀毒功能，有明显的讹诈意图。

=============================

病毒名称

色情终结者

威胁级别

病毒类型

网页病毒

病毒长度

33842

影响系统

Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为

这是一个感染脚本和网页文件的病毒。它运行时会关闭任务管理器、注册表编辑器、瑞士军刀注册表修复工具、360安全卫士等系统进程和安全软件，将自己扩散到所有磁盘中，感染全部的正常VBS脚本文件，还会删除名称与色情有关的avi, mpg, rm, rmvb格式的视频文件。

1. 病毒运行后，产生以下病毒文件:

%SystemRoot%\\%UserName%.vbs

%SystemRoot%\\System32\\%UserName%.vbs

%SystemRoot%\\System32\\%UserName%.ini

以上的文件名根据用户的电脑不同有所区别, 一般为当前的用户名或Administrator. 下同.

2. 在每个盘的根目录下生成autorun.inf和%UserName%.vbs. autorun.inf指定当用户双击打开分区或点右键

选择资源管理器时, 运行病毒程序.

3. 病毒运行时, 会关闭打开的任务管理器, 注册表编辑器, msconfig, 命令行提示符, SREng, 360安全卫士等

软件.

4. 感染用户电脑上的所有以vbs为扩展名VBScript脚本文件和以hta, htm, html, asp为扩展名的网页文件.

5. 删除用户电脑上以avi, mpg, rm, rmvb为扩展名且文件名中含有特定字符串的视频文件.

6. 有时会显示消息框, 内容为"您已有超过2000个文件被感染!不过请放心，此病毒很容易被清除!请联系418465***-_- !", .

7. 修改注册表, 将病毒设置为随系统启动.

8. 修改注册表, 使用户无法通过设置文件夹选项显示隐藏文件, 也无法显示受保护的操作系统文件.

9. 将病毒文件设置为txt, hlp, chm, reg等类型文件的关联程序, 当用户双击打开这些类型的文件时, 都会执行

病毒程序.

10. 病毒可以通过U盘, 软盘和windows网络共享传播.

=============================================