天高云淡

此程序为Trojan类型程序

1.病毒运行后会创建一个名为%$#&**(%$#))(*&^%@#AS的互斥体，防止进程中有多个病毒进程运行。

2.使用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges等API提升自己的权限，方便自己对其他进程进行操作。

3.调用以下命令结束以下服务：
Net Stop Norton Antivirus Auto Protect Service
Net Stop mcshield
net stop “Windows Firewall/Internet Connection Sharing (ICS)”
net stop System Restore Service

4.查找以下进程窗口并发送WM_QUIT消息关闭进程:
Windows Security Center、Symantec AntiVirus、ZoneAlarm、天网防火墙个人版、天网防火墙企业版、瑞星个人防火墙下载版…

5.查找并结束以下进程:
regedit.exe、msconfig.exe、taskgmr.exe、EGHOST.EXE、Iparmor.exe、MAILMON.EXE、
KAVPFW.EXE、RogueCleaner.exe…

6.创建C:\Program Files\Common Files\Services目录并把自己命名为svchost.exe拷贝到该目录下，并添加注册表自启动项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(默认) = C:\Program Files\Common Files\Services\svchost.exe

7.遍历磁盘，把自己命名为IO.pif拷贝到可移动的磁盘中，添加autorun.inf使得用户双击打开磁盘时同时运行病毒。

8.枚举网络共享，把自己命名为Setup.exe拷贝到网络共享文件夹中，添加autorun.inf使得用户双击打开文件夹时同时运行病毒。

9.查找用户进程中是否存在卡巴斯基杀毒软件进程（avp.exe），假如存在则把系统时间的年份设置为2001，使得卡巴斯基杀毒软件过期，每隔5秒遍历磁盘，把自己命名为IO.pif拷贝到可移动的磁盘中，添加autorun.inf使得用户无法手动删除病毒创建的这2个文件。

10.每隔1秒从以下网址下载偷密码的木马存放到C:\Program Files\Internet Explorer\PLUGINS文件夹下并运行这些木马：
http://wdxxxx.cn/yx/mh.exe
http://wdxxxx.cn/yx/wow.exe
http://wdxxxx.cn/yx/qq.exe

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.44.10版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

危险等级：★★★
病毒名称：Trojan.DL.Win32.Autorun.yul
截获时间：2007-10-8
入库版本：19.44.10
类型：病毒

感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

破坏力：中

清除难度：中

破坏手段：下载并运行其它可疑文件，具有反安全软件的功能