天高云淡

这是一个Visual Basic编写的病毒程序

病毒一开始会遍历进程，查找如下进程runiep.exe,ras.exe,MPG4C32.exe,imsins.exe,Iparmor.exe,
360safe.exe,360tray.exe,kmailmon.exe,
kavstart.exe,clsmn.exe,client.exe,pubwin.exe.。找到后，就直接用TerminateProcess关闭这些安全软件的进程。

病毒会在%SYSTEM%目录中释放alcwzrd.exe,inetres.exe,notep.exe,SoundMan.exe

病毒会执行如下的命令，关闭一些安全软件的服务，使这些安全软件失效。
cmd.exe /c net stop shaRedaccess
cmd.exe /c net stop KPfwSvc
cmd.exe /c net stop KWatchsvc
cmd.exe /c net stop McShield
cmd.exe /c net stop “Norton AntiVirUs Server”
cmd.exe /c del %SystemRoot%\system32\updeta.exe

病毒会通过InternetReadFile,从http://www.webyE163.cn/zb/2.txt这个网址上读取需要下载的文件列表，然后用URLDownLoadFile按照列表上的地址逐个下载，并保存在本机的%SYSTEM%目录中，再执行。由于列表网址已经失效，所以我们无法得知需要下载的程序都是什么。

病毒会修改后缀”.txt”的关联项，使用户在打开txt文件的时候就会自动运行病毒，如下：
HKEY_CLASSES_ROOT\txtfile\shell\open\command
\\notep.exe %1

同时这个病毒还有传播的功能，它会向D盘写入auto.exe(也就是病毒本身)和autorun.inf,其中autorun.inf内容为：
[AutoRun]
open=auto.exe
shell\Auto\command=auto.exe
shellexecute=auto.exe
shell\open\Command=auto.exe
shell\explore\Command=auto.exe
shell\find\Command=auto.exe

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

1 . 瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.39.30版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

危险等级：★★★
病毒名称：Worm.Win32.VB.ao
截获时间：2007-9-04
入库版本：19.39.30
类型：蠕虫

感染的操作系统：Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：高

全球化传播态势：中

清除难度：轻易

破坏力：高

破坏手段：下载病毒执行