Worm.Win32.AutoRun.epl(wuauclt.exe,mm.exe)分析查杀

　超级巡警团队提醒广大用户，恶意程序Worm.Win32.AutoRun.epl会伪装为windows系统的自动升级程序,并映像劫持大量安全工具，下载其他恶意程序，盗取用户敏感信息。建议用户升级到最新病毒库，进行有效查杀。

　　一、病毒相关分析：

　　病毒标签：

　　　　病毒名称：Worm.Win32.AutoRun.epl

　　　　病毒类型：蠕虫

　　危害级别：3

　　感染平台：Windows

　　病毒大小：14,389(字节)

　　S H A 1　：4d755f9ff6992f7aae809a44ce0ab0a00d9396d2

　　加壳类型：NSPack 4.1

　　开发工具： Microsoft Visual C++

　　病毒行为：

　　　1、程序运行后，复制自身为以下三个文件：

　　　 　 　 　 　%System%wuauclt.exe

　　　 　 　 　 　%System%dllcachewuauclt.exe

　　　 　 　 　 　%DriveLetter%SVS.pif

　　　 　 生成文件：

　　　 　 　 　 　%DriveLetter%AUTORUN.INF

　　　 　 　 　 　%DriveLetter%l.tmp　　　 　 　//此文件用来恢复SSDT

　　　2、映像劫持以下文件：

　　引用:VsTskMgr.exe、Avp.EXE、Iparmor.exe、KVWSC.EXE、kvsrvxp.exe、KRegEx.exe、AntiArp.exe、VPTRAY.exe、VPC32.exe、scan32.exe、FrameworkService.exe、KASARP.exe、nod32krn.exe、nod32kui.exe、TBMon.exe、rfwmain.exe、RavStub.exerfwstub.exe、rfwProxy.exe、rfwsrv.exe、UpdaterUI.exe、kwatch.exe、KAVPFW.EXE、kavstart.exe、kmailmon.exe、GFUpd.exe、Ravxp.exe、GuardField.exe、RAVMOND.EXE、RAVMON.EXE、CCenter.EXE、RAv.exe、Runiep.exe、360rpt.EXE、360tray.exe、360Safe.exe、SREngLdr.EXE、msconfig.EXE、rfwsrv.EXE、rfwProxy.EXE、rfwstub.EXE、RavStub.EXE、rfwmain.EXE、GFUpd.EXE、GuardField.EXE、Runiep.EXE、kavstart.EXE、kmailmon.EXE、kwatch.EXE、RAV.EXE、KASARP.EXE、ANTIARP.EXE、VPTRAY.EXE、VPC32.EXE、AutoRunKiller.EXE、Regedit.EXE、WOPTILITIES.EXE、Ast.EXE、Mmsk.EXE、Frameworkservice.EXE、KRegEx.EXE、nod32krn.EXE、Nod32kui.EXE、Navapsvc.EXE、KVSrvXP.EXE、Iparmor.EXE、IceSword.EXE、AvMonitor.EXE、AVP.EXE、safeboxTray.EXE、360safebox.EXE、360tray.EXE、360safe.EXE

　　空格3、修改系统隐藏属性，使显示隐藏文件失效。修改访问目录Documents and SettingsAll Users的权限为everyone，以便下载其他文件到这个目录并运行。

　　　4、下载并运行以下文件：

　　引用:http://m.*****.com/dd/10.exe

　　http://m.*****.com/dd/9.exe

　　http://m.*****.com/dd/8.exe

　　http://m.*****.com/dd/7.exe

　　http://m.*****.com/dd/6.exe

　　http://m.*****.com/dd/5.exe

　　http://m.*****.com/dd/4.exe

　　http://m.*****.com/dd/3.exe

　　http://m.*****.com/dd/2.exe

　　http://m.*****.com/dd/1.exe

　　http://m.*****.com/dd/x.gif

　　二、解决方案

　　　推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。

　　超级巡警下载地址：http://down.ddvip.com/view/11574386594690.html

　　　手工清除方法：

　　1、结束病毒进程mm.exe。打开超级巡警，选择进程管理功能，终止mm.exe进程。　　　　

　　2、删除以上提到的生成文件。

　　3、打开超级巡警，选择“工具”、“系统修复”，修复隐藏属性。

　　4、使用超级巡警修复映像劫持。

　　三、安全建议

　　1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。

　　2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。

　　3、使用超级巡警的补丁检查功能，及时安装系统补丁。

　　4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设　置为可写或可控制。

　　5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。

　　6、禁用不必要的服务。

　　7、及时更新常用软件，尤其是聊天工具。

　　8、不要使用IE内核的浏览器。

　　9、不要随便打开不明来历的电子邮件，尤其是邮件附件。

　　10、不要随意下载不安全网站的文件并运行。