MSN.exe(Virus.Win32.AutoRun.on)分析

MSN.exe(Virus.Win32.AutoRun.on)清除

文件名称：msn.exe

文件大小：139776 byte

AV命名：Virus.Win32.AutoRun.on(卡巴斯基)

加壳方式：未知

编写语言：Delphi

病毒类型：U盘病毒

文件MD5：8c6f7e9ffbb878bf3625e00347172cc0

行为分析：

0、为了防止.主进程被结束，隐藏进程。（通过直接获得系.统内存实现）

1、添加到开始—程序—启动栏下，开机自启。

2、查找可用的磁盘，生成Autorun.inf和Msn.exe。

3、每隔一段时间，检测开始—程序—.启动下的Msn.exe，如不在则重新写回。

4、每隔一段时间检查可.用的磁盘，尝试生成Autorun.inf和Msn.exe。（可能导致U盘感染）

5、修改IE主页，修改为：http://www.baidu.com/index.php?tn=dsgj_cb。

6、连接222.185.229.**等，下载其他木马。（未实现）

7、开启另一个线程，在后台刷某著.名下载站的流量。。

解决方法：

1、http://free.ys168.com/?gudugengkekao1下载：

PowerRmv.com 101KB

2、打开PowerRmv，选上抑制对象再次生成，填入：

C:\MSN.exe

C:\autorun.inf

D:\MSN.exe

D:\autorun.inf

E:\MSN.exe

E:\autorun.inf

F:\MSN.exe

F:\autorun.inf

3、还有那个C:\Documents and Settings\User Name\「开始」菜单\程序\启动\msn.exe。

这个也要用PowerRmv覆盖删除。User Name是你的用户名，自己变吧。

4、如果删除.后再出现的话，自己去下载个冰刃，把Msn.exe先结束掉就可以了。