Worm.Win32.AutoRun.cnv分析

　　病毒名称： Worm.Win32.AutoRun.cnv

　　病毒类型： 蠕虫

　　文件 MD5： FBCE46FA53201B02CCC5C495829CB6D5

　　文件长度： 28,672 字节

　　感染系统： Windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： 未知壳

　　病毒描述：

　　该病毒属蠕虫类。病毒运行后复制自身到%System32%及附属目录下;复制自身到C至K盘的根目录下，并衍生autorun.inf文件，使病毒在双击打开盘符时运行;在当前用户的临时文件夹下，衍生rs.bat文件;遍历进程列表，关闭指定的进程;尝试关闭标题中含有指定字符串的活动窗口;修改注册表，添加两处启动项，创建一项服务，锁定隐藏文件的显示方式，使用户无法通过“文件夹选项”显示隐藏文件;程序运行过程中，由于自身问题会弹出错误对话框，使器根目录在打开时，将无法打开只弹出该对话框;程序运行后尝试删除自身。连接网络下载文件，但所有文件都已经无法下载。

　　行为分析：

　　本地行为:

　　1、文件运行后会释放以下文件

　　%System%drivers\svchost.exe 28,672 字节

　　%System%\microsoft.exe 28,672 字节

　　%System%\SP00LV.exe 28,672 字节

　　%Documents and Settings%\Administrator\Local Settings\Temp\rs.bat 105 字节

　　%HomeDrive%\setup.exe 28,672 字节

　　%HomeDrive%\AutoRun.inf 163 字节

　　%DriveLetter%\setup.exe 28,672 字节

　　%DriveLetter%\AutoRun.inf 163 字节

　　2、新增注册表

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　注册表值: "Internat"

　　类型： REG_SZ

　　值： "C:\WINDOWS\system32\microsoft.exe"

　　描述: 启动项，使病毒文件在当该系统的所有用户登陆该系统时，运行病毒文件。

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　注册表值: "Program Files"

　　类型： REG_SZ

　　值： "C:\WINDOWS\system32\SP00LV.exe"

　　描述: 启动项，使病毒文件在当该系统的所有用户登陆该系统时，运行病毒文件。

　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]

　　注册表值: "DisplayName

　　类型： REG_SZ

　　值："Winnet COM+"

　　描述: 服务名称

　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]

　　注册表值: "ImagePath"

　　类型： REG_SZ

　　值："C:\WINDOWS\system32\drivers\svchost.exe"

　　描述: 服务启动的映像路径

　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Winnet COM+]

　　注册表值: "Start"

　　类型： DWORD

　　值："2"

　　描述：服务的启动方式。

　　3、修改注册表

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

　　新建键值：字串："CheckedValue"="1"

　　原键值：字串："CheckedValue"="0"

　　描述: 锁定隐藏文件的显示方式，使用户无法通过“文件夹选项”显示隐藏文件

　　4、被监视的进程名称列表

　　360tray.exe、RavTask.exe、RavStub.exe、RavMonD.exe、RavMon.exe、CCenter.exe、rfwstub.exe、rfwProxy.exe、rfwsrv.exe、rfwmain.exe、Ras.exe、runiep.exe

　　5、标题栏中被监视的字符串列表

　　安全卫士、扫描、专杀、注册表、Process 进程、毒、木马、防御、防火墙、病毒、检测、Firewall、virus、anti、金山、江民、卡巴斯基、worm、杀毒、360、专杀、微点、micropoint、克星、广告、Kaspersky、AVK F-Secure、eScan、Norton、诺顿、McAfee、Virus、Panda、熊猫、Trojan、Door、AVG

　　6、rs.bat文件代码

　　@echo off

　　:start

　　if not exist ""%1"" goto done

　　del /F ""%1""

　　del ""%1""

　　goto start

　　:done

　　del /F %t

　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

　　%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量

　　%Windir%\ WINDODWS所在目录

　　%DriveLetter%\ 逻辑驱动器根目录

　　%ProgramFiles%\ 系统程序默认安装目录

　　%HomeDrive% = C:\ 当前启动的系统的所在分区

　　%Documents and Settings%\ 当前用户文档根目录