【CISRT2007024】可通过U盘传播、调日期到1980年的随机字母文件名病毒解决方案
档案编号:CISRT2007024
病毒名称:Worm.Win32.Agent.t(Kaspersky)
病毒别名:Worm.Troj.Agent.t.51200(毒霸)
Worm.Skla.a(瑞星)
病毒大小:51,200 字节
加壳方式:PE_Patch.PECompact PecBundle PECompact
样本MD5:31be55fe725959235f6f031834640a06
样本SHA1:69b6a642c89e3f5c6d4e76328aca4b6a5266661a
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:恶意网页、其它病毒下载,可通过U盘移动硬盘等移动存储设备传播
技术分析
==========
这个病毒会在每个分区下释放病毒副本,文件名随机,通过autorun.inf利用系统“
自动播放”功能运行,此外,病毒还会将计算机系统时间年份调到1980年,这样
做可以使得某些反病毒软件不能正常工作。
病毒运行后向系统目录复制副本:
%Windows%\{随机字母文件名}.exe
向各分区复制副本:
X:\{随机字母文件名}.exe
X:\Autorun.inf
更多完整内容请访问:[url]http://www.cisrt.org/bbs/viewthread.php?tid=715[/url]
清除步骤
==========
1. 结束病毒进程:
%Windows%\{随机字母文件名}.exe
2. 删除病毒文件:
%Windows%\{随机字母文件名}.exe
3. 通过分区右键菜单的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\{随机字母文件名}.exe
X:\Autorun.inf
4. 编辑注册表,删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon]
"Userinit"="%System%\userinit.exe,"
Windows XP/2003例:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\System32\userinit.exe,"
Windows 2000例:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
