蠕虫名:蠕虫。Win32.Delf.aj(AVP)
蠕虫别名:特洛伊。Spy.UsbSpy.a(上升),TrojanSpy。USBSpy.a(姜敏)
蠕虫大小:47,104字节
加壳方法:UPX
MD5:07 adddef 653 a 702 b9a 11 EDB CEE 07 e 82 b
CRC32:100A382A
[癫痫现象]:
电脑开机会自动弹出记事本,生成wincfgs.exe、kb 20060111 . exe等文件。
【行为分析】:
1.在注册表中创建USBSpyRunMutex互斥体,以避免重复感染。
2.在系统中生成
C:\%system%\wincfgs.exe (system,hidden,只读属性)
c:\ % Windows % \ kb 20060111 . exe(大小66560字节,非病毒,记事本程序)。
3.添加:
HKLM \软件\微软\ Windows NT \当前版本\ Windows \ Load = " C:\ Windows \ system32 \ win CFG s . exe "
4.在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在该目录中生成autorun.inf和desktop.ini。
autorun.inf的内容:
[自动运行]
open=。\RECYCLER\RECYCLER\autorun.exe
shell \ 1 =打开
shell\1\Command=。\RECYCLER\RECYCLER\autorun.exe
shell \ 2 \ =浏览器
shell\2\Command=。\RECYCLER\RECYCLER\autorun.exe
shellexecute=。\RECYCLER\RECYCLER\autorun.exe
Autorun.exe和wincfgs.exe
desktop.ini的内容:
[.ShellClassInfo]
CLSID = { 645 ff 040-5081-101 b-9f 08-00aa 002 f 954 e }
可以看到,当含有病毒的移动设备连接到电脑时,蠕虫就会自动运行。
开机时弹出的记事本是文件KB20060111。Exe。KB20060111的启动。Exe可能不是常规启动项,但是文件wincfgs.exe启动(调用)KB2006010。也就是说文件KB 20060111。Exe不是病毒,也不是玩笑程序本身。其实KB 2006011。Exe是一个记事本程序(这也是为什么KB 200601165438)另外,如果wincfgs.exe的电脑没有清理干净,重新连接到干净的移动存储设备上,可能会再次感染这个移动存储设备。
[修改方法]
1,修改注册表
A.运行“regedit”启动注册表编辑器;
B.分别删除注册表项。
HKEY _当前用户\软件\微软\Windows NT \当前版本\ Windows
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Windows
下加载注册表项中的键值内容。
如果不放心,可以搜索“wincfgs.exe”的注册表项,删除。
2.删除文件
% SystemRoot % \ system32 \ win CFG s . exe
% SystemRoot % \ kb 20060111 . exe
3个移动存储设备:
连接USB后,打开我的电脑,右键选择打开(不要点击打开或者直接点击打开),然后打开菜单栏中的工具-& gt;"文件夹选项"->;“查看”并删除“隐藏受保护的系统文件(推荐)”前面的复选标记。从闪存盘删除desktop.ini、wincfgs.exe和autorun.inf。
移动硬盘时,手动删除每个盘符下的desktop.ini、wincfgs.exe和autorun.inf文件。。
还有一种便捷的方法可以批量删除注册表更改:
将以下文本复制到记事本中,保存为“Wincfgs_kill.bat”(注意保存时文件类型为“所有文件”)。
回声
ts kill kb 20060111
茨基尔温CFG
del % windir % \ kb 20060111 . exe
del % windir % \ system32 \ win CFG s . exe
reg delete "HKEY当前用户\软件\微软\ Windows NT \当前版本\Windows" /v "load" /f
reg add "HKEY当前用户\软件\微软\ Windows NT \当前版本\ Windows "/v " load "/t REG _ SZ/d " "/f
然后运行,然后重启电脑。