病毒的表现:
0 V! m- m( K% K1 H4 V/ N, h
5 f/ S1 Q; W+ h! s1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。( R1 q6 ^; G7 C
2. 在系统中生成/ }1 A, e ~8 y* N1 v
C:\%system%\wincfgs.exe(系统、隐藏、只读属性). ^' R8 \- [& e
C:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)6 Y9 R, [1 E# @, Y5 I
3. 在注册表中添加:
6 i" }: d& \2 o: W, t W5 c0 oHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
7 g4 v2 ]' A' hLoad =“C:\windows\system32\wincfgs.exe”
1 i( V6 h# x \9 F4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。7 R' J$ V4 v/ E/ t" @
autorun.inf的内容:
7 Z" ] F2 X2 s3 O+ l$ r[autorun]' i' b$ {; }2 z9 ^
open=.\RECYCLER\RECYCLER\autorun.exe& g; ?* t5 @2 w* m% u
shell\1=Open% c0 q2 Q a. N% V6 R2 F& }) U
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
0 ^. a- `" P" U3 S; L q% ^2 rshell\2\=Browser6 _! Q* a' @1 [4 N) h( |! \% G
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe/ D& J2 O5 O/ {3 r# f
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
; B9 p2 q* y* o! cautorun.exe同wincfgs.exe
" \. [6 Z4 N" ^+ d2 Pdesktop.ini的内容:+ ~/ f: b) p- M6 _: ^, R
[.ShellClassInfo]; i, O, X' t& x2 `' y
CLSID={645FF040-5081-101B-9F08-00AA002F954E}- Y* ?* z! n1 P
由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行产生一个无标题的记事本,只要把上面的生成的文件找到并删除,就可以了。不过要记得其中有相当多的文件是隐藏文件来的~要在工具->文件夹选项->查看-> 显示所有文件和文件夹 才可以找到~呵呵~ |