病毒的表现:) K. G( M+ R" \% b& f6 _' Y3 Y
4 |# j4 f1 R1 Y1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。$ `/ {' Z6 f( q# K; I
2. 在系统中生成3 k5 y5 X7 o. X, ]% O2 F
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
4 K9 ]2 p$ s' J/ K. T4 EC:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)
$ \ p8 G; V% S% C3. 在注册表中添加:
/ k" @: e1 A& @1 D% DHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. ?! h* Q8 ^$ t
Load =“C:\windows\system32\wincfgs.exe”* ~" @ G2 P9 p/ Y8 c2 u7 o0 W
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。: e N! e# B% o/ m7 s; [; I- Z
autorun.inf的内容:+ {4 O& F" |' l9 X4 K6 h* D
[autorun]
, K: t& |, z2 G7 P. N: Qopen=.\RECYCLER\RECYCLER\autorun.exe, u; Q* ?7 ^$ c2 ?# m1 b
shell\1=Open
E6 T) P& c: n0 j$ E# kshell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
- B }6 S3 G( N6 Kshell\2\=Browser
. L' ]6 r- ?. ]$ V7 N3 g& j% V Dshell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
+ W8 p9 d# Q, j5 j3 s; jshellexecute=.\RECYCLER\RECYCLER\autorun.exe5 x$ D# o Y7 m/ o6 Q. _0 t4 }, ]3 K
autorun.exe同wincfgs.exe& q" v2 l4 f& R& T+ W; l; c
desktop.ini的内容:. p+ i% D/ T# V8 t
[.ShellClassInfo]* x3 ]1 \4 I4 L, I* e1 [& l
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
# N- u+ @% b( v. `* q$ W由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行产生一个无标题的记事本,只要把上面的生成的文件找到并删除,就可以了。不过要记得其中有相当多的文件是隐藏文件来的~要在工具->文件夹选项->查看-> 显示所有文件和文件夹 才可以找到~呵呵~ |