“自动运行变种ISG”病毒技术细节

　　此程序为Worm类型程序

　　将自身复制到磁盘分区根目录命名为AutoRun.exe，并写入与之对应的autorun.inf。实现用户打开磁盘就运行该病毒和通过可移动介质传播的目的。

　　查找Explorer.exe进程。复制病毒代码到该进程，并执行该病毒代码。该病毒代码下载指定的程序文件，地址如下：

　　http://www.dxj520.cn/down/1.exe、http://www.dxj520.cn/down/20.exe等（共20个）。

　　同时，下载http://www.dxj520.cn/down/down.exe至C:\\Program Files\\Internet Explorer\\ down.exe，并通过增加注册表项将其设为开机自动启动，具体键值如下：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　SVCH0ST = “C:\Program Files\Internet Explorer\down.exe”

　　将代码放到Explorer.exe进程中去执行主要是为了突破部分防火墙的保护。

　　对抗杀毒软件：

　　1）、查找并结束下列安全软件进程：

　　"Kav.exe""kav32.exe""RAVMON.exe""KavPFW.exe""RavTask.exe""

　　"KVMonXP.exe""RavService.exe""avp.exe""Rav.exe""QQDoctor.exe"等。

　　2）、调用WinExec执行如下命令：

　　"cmd /cnet stop srservice"

　　"cmd /csc config srservice start= disabl"...

　　"cmd /cnet stop sharedaccess"

　　"cmd /cnet stop kvwsc"

　　"cmd /csc config kvwsc start= disabled"

　　"cmd /cnet stop kvsrvxp"

　　"cmd /csc config kvsrvxp start= disabled"...

　　"cmd /cnet stop kavsvc"

　　"cmd /csc config kavsvc start= disabled"

　　"cmd /csc config rsravmon start= disable"...

　　"cmd /cnet stop rsccenter"

　　"cmd /csc config rsccenter start= disabl"...

　　"cmd /cnet stop rsravmon"

　　停止杀毒软件服务程序，并设置其为禁用。这可以使计算机失去这些杀毒软件的保护。

　　3）、该病毒调用WinExec执行cmd /c date 2000-01-01设置系统日期为2000-01-01，这样使部分杀毒软件无法使用。

　　安全建议：

　　1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

　　2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

　　3 不浏览不良网站，不随意下载安装可疑插件。

　　4 不接收QQ、MSN、Emial等传来的可疑文件。

　　5 上网时打开杀毒软件实时监控功能。

　　6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

　　清除办法：

　　瑞星杀毒软件清除办法：

　　安装瑞星杀毒软件，升级到19.46.20版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。