病毒摘要：

危险等级：★★★

病毒名称：Worm.Win32.VB.mq

截获时间：2007-9-13

入库版本：19.19.42

类型：病毒

字串8

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000 字串9

威胁情况： 字串7

传播级别：高 字串3

全球化传播态势：低

字串7

清除难度：困难 字串2

破坏力：高

字串2

破坏手段：隐藏其他恶意程序 字串3

技术细节： 字串7

这是一个Virutal Basic编写的蠕虫病毒，用UPX加壳程序进程保护。

字串1

该病毒运行后，首先把自身复制在All User的启动文夹中更名为startup.bat并运行(如:C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动).

字串6

接着病毒还会将自身复制到多个系统目录中,路径为%Windir%,子目录名从下列路径名为随机抽取(\\system,\\web,\\fonts,\\temp,\\help)文件名在下列文件名中随机抽取(winlogon.exe,csrss.exe,

taskmgr.exe,lsass.exe,smss.exe,svchost.exe,internat.exe,spoolsv.exe,conime.exe)

字串8

病毒会将自身更名为下列三个文件名称regedit.exe,notepad.exe,msconfig.exe,并复制到%SYSTEM32%目录中, 替换已经存在的正常文件(regedit.exe,msconfig.exe),并将正常的regedit.exe,msconfig.exe复制到% WinDir%目录中备用,用户在执行这三个程序的同时必定会使病毒也执行起来.

字串3

病毒会修改注册表项,达到隐藏文件的目的.

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

Advanced"HideFileExt" = 0X00000001

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

Advanced"Hidden" = 0X00000000 字串3

病毒会执行下列命令,使中毒计算机完全暴露在网络中,便于病毒作者进行其它的操作.

如:

cmd /c net share C$=c:\\

cmd /c net share D$=d:\\

将计算机的C盘和D盘共享.

cmd /c net user admin /add

添加一个"admin"的用户

cmd /c net localgroup administrators admin /add

将"admin"的用户加入到本地的administrators组中,得到最大的控制权 字串1

病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身(名字改为"command.com") 和autorun.inf.其中autorun.inf的内容为:

[autorun]

OPEN=Comand.com

Shellexecute=comand.com

Shell\\explorer\\command=comand.com

字串1

病毒在遍历本地存储设备的同时,会在本地所有硬盘的根目录中复制一个和目录名相同的病毒文件,迷惑用户.

字串6

总结：这个病毒具有较大的破坏性和传播性,其文件图标为Windows系统的文件夹图标,用户非常容易受到迷惑,轻易点击该病毒.该病毒还会将用户常用的一些文件进行替换,使用户在不知不觉中,就可以中招,十分阴险.另外该病毒还可以通过移动设备进行传播. 字串6

安全建议：

字串2

1 安装正版杀毒软件、个人防火墙和卡卡上网安.全助手,并及时升级，瑞星杀毒软件每.天至少升级三次。 字串9

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。 字串9

3 不浏览不良网站，不随意下载安装可疑插件。 字串3

4 不接收QQ、MSN、Emial等传来的可疑文件。 字串6

5 上网时打.开杀毒软件实时监控功能。 字串7

6 把网银、网游、QQ等重要软件加入到“瑞星帐号.保险柜”中，可以有效保护密码安全。

字串1

清除办法：

字串4

1 . 瑞星杀毒软件清除办法：

字串4

安装瑞星杀毒软件，升级到19.19.42版以上，对电脑进行全盘扫描，按照软件.提示进行操作，即可彻底查杀。

字串4