新蠕虫病毒伪装成windows升级程序

　　超级巡警团队提醒广大用户，恶意程序Worm.Win32.AutoRun.epl会伪装为windows系统的自动升级程序,并映像劫持大量安全工具，下载其他恶意程序，盗取用户敏感信息。建议用户升级到最新病毒库，进行有效查杀。

　　一、病毒相关分析：

　　病毒标签：

　　病毒名称：Worm.Win32.AutoRun.epl

　　病毒类型：蠕虫

　　危害级别：3

　　感染平台：Windows

　　病毒大小：14,389(字节)

　　S H A 1 ：4d755f9ff6992f7aae809a44ce0ab0a00d9396d2

　　加壳类型：NSPack 4.1

　　开发工具： Microsoft Visual C++

　　病毒行为：

　　1、程序运行后，复制自身为以下三个文件：

　　%System%wuauclt.exe

　　%System%dllcachewuauclt.exe

　　%DriveLetter%SVS.pif

　　生成文件：

　　%DriveLetter%AUTORUN.INF

　　%DriveLetter%l.tmp //此文件用来恢复SSDT

　　2、映像劫持以下文件：

　　VsTskMgr.exe、Avp.EXE、Iparmor.exe、KVWSC.EXE、kvsrvxp.exe、KRegEx.exe、

　　AntiArp.exe、VPTRAY.exe、VPC32.exe、scan32.exe、FrameworkService.exe、

　　KASARP.exe、nod32krn.exe、nod32kui.exe、TBMon.exe、rfwmain.exe、

　　RavStub.exerfwstub.exe、rfwProxy.exe、rfwsrv.exe、UpdaterUI.exe、kwatch.exe、

　　KAVPFW.EXE、kavstart.exe、kmailmon.exe、GFUpd.exe、Ravxp.exe、

　　GuardField.exe、RAVMOND.EXE、RAVMON.EXE、CCenter.EXE、RAv.exe、

　　Runiep.exe、360rpt.EXE、360tray.exe、360Safe.exe、SREngLdr.EXE、

　　msconfig.EXE、rfwsrv.EXE、rfwProxy.EXE、rfwstub.EXE、RavStub.EXE、

　　rfwmain.EXE、GFUpd.EXE、GuardField.EXE、Runiep.EXE、kavstart.EXE、

　　kmailmon.EXE、kwatch.EXE、RAV.EXE、KASARP.EXE、ANTIARP.EXE、VPTRAY.EXE、

　　VPC32.EXE、AutoRunKiller.EXE、Regedit.EXE、WOPTILITIES.EXE、Ast.EXE、

　　Mmsk.EXE、Frameworkservice.EXE、KRegEx.EXE、nod32krn.EXE、Nod32kui.EXE、

　　Navapsvc.EXE、KVSrvXP.EXE、Iparmor.EXE、IceSword.EXE、AvMonitor.EXE、

　　AVP.EXE、safeboxTray.EXE、360safebox.EXE、360tray.EXE、360safe.EXE

　　3、修改系统隐藏属性，使显示隐藏文件失效。修改访问目录Documents and SettingsAll Users的权限为everyone，以便下载其他文件到这个目录并运行。

　　4、下载并运行以下文件：

　　m.*****.com/dd/10.exe

　　m.*****.com/dd/9.exe

　　m.*****.com/dd/8.exe

　　m.*****.com/dd/7.exe

　　m.*****.com/dd/6.exe

　　m.*****.com/dd/5.exe

　　m.*****.com/dd/4.exe

　　m.*****.com/dd/3.exe

　　m.*****.com/dd/2.exe

　　m.*****.com/dd/1.exe

　　m.*****.com/dd/x.gif

　　二、解决方案

　　推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。

　　手工清除方法：

　　1、结束病毒进程mm.exe。打开超级巡警，选择进程管理功能，终止mm.exe进程。

　　2、删除以上提到的生成文件。

　　3、打开超级巡警，选择“工具”、“系统修复”，修复隐藏属性。

　　4、使用超级巡警修复映像劫持。

　　三、安全建议

　　1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。

　　2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。

　　3、使用超级巡警的补丁检查功能，及时安装系统补丁。

　　4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设 置为可写或可控制。

　　5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。

　　6、禁用不必要的服务。

　　7、及时更新常用软件，尤其是聊天工具。

　　8、不要使用IE内核的浏览器。

　　9、不要随便打开不明来历的电子邮件，尤其是邮件附件。

　　10、不要随意下载不安全网站的文件并运行。

　　注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：

　　%SystemDrive% 　 　 系统安装的磁盘分区

　　%SystemRoot% = %Windir% 　 WINDODWS系统目录

　　%ProgramFiles%　　　 应用程序默认安装目录

　　%AppData% 　 　 应用程序数据目录

　　%CommonProgramFiles%　 公用文件目录

　　%HomePath% 　 　 当前活动用户目录

　　%Temp% =%Tmp% 　 　 当前活动用户临时目录

　　%DriveLetter% 　 　 逻辑驱动器分区

　　%HomeDrive% 　　 　 当前用户系统所在分区