天高云淡

此程序为Worm类型程序
1. 病毒初始化：

病毒运行后，会把自己释放的文件复制到System文件夹下来隐藏自己，不轻易被发现：
ctfmon.exe———–病毒自身
nthide.dll————-用来隐藏病毒进程、文件

2. 加载自启动功能：
修改注册表，
SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN下增加一个键值
“ctfmon.exe” = C:\WINDOWS\system\ctfmon.exe
以便病毒在系统重新启动后可以继续运行。

3. 关闭系统SFC功能:
病毒会利用系统的sfc_os.dll文件，去调用sfc_os.dll的导出函数，把操作系统的自我保护功能关闭，使用户的所有文件都失去保护功能。这样方便病毒去感染Wndow目录下的文件。

4. 进程、程序的隐藏:
会运行system目录下的ctfmon.exe（该病毒副本），然后调用自己释放的ntHide.dll来把自己在进程中隐藏，这样当用户打开任务治理器，或是在我的电脑中是永远看不到病毒文件的。
在上面的所有步骤完成后，到此病毒的隐藏手段完成，这时病毒开始真正工作。

病毒会启用两个线程来进行破坏：

线程一：
监视系统，假如发现电脑上有可移动设备接入时，会把自身自制到RECYCLER目录下，并在每个磁盘根目录下建立 Autorun.inf文件。当用户用我的电脑浏览可移动设备时，病毒会不知不觉的自动运行。

线程二：
病毒遍历可移动磁盘、本地磁盘、网络共享磁盘进行感染。文件被感染后会把宿主文件包在病毒的尾部, 被感染的文件运行时，先执行病毒代码，然后释放并运行正常文件。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.42.20版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

危险等级：★★★
病毒名称：Worm.Win32.SubRest.a
截获时间：2007.09.28
入库版本：19.42.51
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：高

全球化传播态势：低

清除难度：困难

破坏力：高

破坏手段：感染EXE文件 ，通过网络、局域网传播