天高云淡

危险等级：★★★
病毒名称：Trojan.DL.Win32.Inject.riu
截获时间：2007-10-8
入库版本：19.44.11
类型：病毒

感染的操作系统：Windows XP， Windows NT， Windows Server 2003， Windows 2000

威胁情况：

传播级别：中

全球化传播态势：低

破坏力：中

破坏手段：从列表中下载病毒，偷盗用户敏感信息，关闭安全软件的提示消息，通过可移动存储设备进行传播

这是一个下载器病毒

病毒运行后，先将自身复制到%SYSTEMDIR%目录中，并更名为serves.exe，并利用CreateServiceA创建服务，其中Display Name为:”Performance Logs and Ale”，路径为”%SYSTEMDIR%/serves.exe”.

病毒会利用SetTimer注册一个回调例程，这个例程会利用CreateThread创建一个线程，该线程的主要作用就是利用FindWindow依次查找”IE 执行保护”、”答应执行”、”确定”以及”瑞星卡卡上网安全助手”、”答应”这些要害字，假如查找到，则向这些窗口发送WM_LBUTTONDOWN和WM_LBUTTONUP消息，关闭这些安全软件的提示消息，使计算机失去保护。

病毒会遍历系统内进程寻找IEXPLORE.exe，假如没有则启动一个IEXPLORE.exe.然后病毒会打开该进程，再利用VirtualAlloc申请一块内存空间，利用WriteProcessMemory把病毒本身写入，再利用CreateRemoteThread创建远程线程.

病毒会修改注册表内的”HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”下面的’NoDriveTypeAutoRun’，并将该键值修改为0，打开自动运行。

病毒会从http://fghy66.xxx.com/7.exe利用URLDownloadFile下载该程序并存放在%SYSTEM32%目录中，并利用WinExec运行下载后的程序.然后利用GetDriveType判定磁盘类型，并向可移动存储设备中写入autorun.inf和病毒本身，其中autorun.inf的内容为:
[Aurotun]
open=serves.exe
shellexecute=serves.exe
shell\Auto\command=serves.exe

病毒最后会在%SYSTEM32%目录中，写入一个DELEDOWN.bat，删除病毒本身.bat文件内容为:
:try
del %FileName%
if exist %FileName% goto try
del %0

并运行该批处理文件来自删除。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.44.11版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。