天高云淡

危险等级：★★★
病毒名称：Worm.Mail.Win32.VB.cc
截获时间：2007-10-10
入库版本：19.44.32
类型：蠕虫病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

全球化传播态势：困难

破坏力：高

破坏手段：邮件优盘传播

这是一个VB编写的Worm病毒，采用nspack程序进行保护。病毒文件伪装成Kingsoft AntiVirus软件，试图欺骗用户去点击运行。该病毒是集点击网站，下载病毒，利用邮件和优盘传播为一身多功能病毒。

1.病毒运行后首先会去查找c盘根目录下是否存在KAV32.exe,假如不存在将自身复制到该路径下。

2.病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身KAV.exe和autorun.inf.其中autorun.inf的内容为: [AutoRun]open=”KAV32.exe”

3.查找OUTLook邮箱中的好友列表，然后把指定的网址http://ken23409.3322.org/index.htm发送给对方。

4.添加修改以下注册表项：

(1) HKEY_CLASSES_ROOT\.reg
(默认) = TXTFILE （txtfile为默认的.txt文件打开、编辑方式，修改后将.reg文件当成.txt来处理）。

(2) HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system
“disableregistrytools” = 0X00000001 （禁用注册表编辑器）

(3) HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\winoldapp
“disabled” = 0X00000001 （禁止在Windows下使用MS-DOS方式及其它DOS程序）

(4) HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer
“nosetfolders” = 0X00000001 （从开始菜单隐藏控制面板、打印机/网络连接）

(5) HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\restrictions
“nobrowseroptions” = 0X00000001（禁用IE的“Internet选项”及其对话框中所有属性设置）

(6) HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control panel
“homepage” = 0X00000001 （修改IE主页属性使按钮失效，用户无法更改”主页”栏）

(7) HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control panel
“securitytab” = 0X00000001 （禁止使用IE“Internet选项”中的“安全”菜单）

(8) HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control panel
“resetwebsettings” = 0X00000001 （隐藏网络标识）

(9) HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main
“start page” = HTTP://KEN23409.3322.ORG （修改IE主页为：HTTP://KEN23409.3322.ORG）

(10) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
“Kav32″ = C:\KAV32.EXE （达到开机自启动目的）

5.从http://ken23409.3322.org:8081/muma.exe网站下载病毒文件到系统文件夹，命名为:i.exe，并运行该病毒。（由于该网站下载连接已失效无法确认下载的是何种类型的病毒）。

6.查找以下反病毒软件窗口，找到后结束其进程：

(1).江民杀毒软件KV2007

(2).金山毒霸2007

(3). 瑞星杀毒软件2007

(4).卡巴斯基反病毒软件 6.0

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.44.32版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。