蠕虫程序Worm.Win32.AutoRun.ava

　　Worm.Win32.AutoRun.ava

　　捕获时间

　　2008-03-10

　　病毒症状

　　该程序是使用Delphi编写的蠕虫程序，程序未加壳，长度为113,152字节，图标为QQ图标，病毒扩展名为exe，主要通过网页木马、文件捆绑、移动存储介质方式传播。

　　病毒分析

　　该样本程序被执行后，拷贝自身到％systemroot％\system32\QQ2007目录下，分别重命名为alg.exe 、QQ.exe，修改文件属性为只读、隐藏和系统；遍历进程查找TIMPlatform.exe将其关闭；拷贝自身到病毒原文件目录下，分别重命名为TIMPlatform.exe、TIPlatform.exe，修改文件属性为只读、隐藏和系统；分别激活以上病毒备份；之后拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下，以达到自启动的目的；修改如下注册表键值实现病毒下载程序随机自启动、更改IE浏览器的主页、修改.txt文件关联，当打开.txt文件时会运行病毒本身；访问如下网址下载其它病毒程序并运行；遍历盘符在各分区和移动存储介质中释放隐藏病毒文件Drive.exe和autorun.inf，使用Windows自动播放功能来传播病毒。

　　感染对象

　　Windows 2000/Windows XP/Windows 2003

　　传播途径

　　网页木马、文件捆绑、移动存储介质

　　安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Worm.Win32.AutoRun.ava ”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

　　2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。

　　3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

　　4、开启windows自动更新，及时打好漏洞补丁。

　　技术细节

　　病毒修改注册表项：

　　项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

　　键值：Internet Explrer

　　指向文件：％systemroot％\system32\QQ2007\IEXPLORE.EXE

　　项：HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\

　　键值：Start Page

　　指向数据：http://www.***uai.com

　　项：HKEY_CLASSES_ROOT\txtfile\shell\open\command\

　　键值：默认

　　指向数据：％systemroot％\system32\QQ2007\QQ.exe %1

　　Autorun.inf文件的内容如下：

　　open=Drive.exe

　　shell\open=打开(&O)

　　shell\open\Command=Drive.exe

　　shell\open\Default=1

　　shell\explore=资源管理器(&X)

　　shell\explore\Command=Drive.exe

　　病毒访问的网址：

　　http://k***b.com/update/up.exe

　　http://k***b.com/update/QQUpdateIni.txt

　　http://k***b.com/update/IEXPLORE.EXE