一、病毒描述:
病毒被运行后拷贝自身到系统盘,在注册表里写入启动项。通过在各盘写入autorun.inf和ys.exe来达到感染U盘,随U
盘传播的目的。下载大量木马病毒并运行。修改hosts文件,修改显示隐藏文件的注册表键值。 二、病毒基本情况:
病毒名称:Virus.Win32.AutoRun.hl
病毒别名:Trojan.DL.Win32.AutoRun.inq(瑞星),Win32.Troj.Autorun.hl.911872(金山)
病毒类型:病毒
危害级别:3
感染平台:Windows
病毒大小:25,805(字节)
SHA1 :e7ecfebef7d8d37a33013560100ef765f0b0f81d
加壳类型:NSPack 4.1
开发工具:Delphi 三、病毒行为:
1、病毒运行后拷贝自身到系统目录:
%windir%\system32\system32\Update.exe
2、拷贝自身到各盘根目录下并命名为ys.exe,生成aurorun.inf,达到随U盘传播的目的。
3、在注册表添加启动项:
键路径:HKLM\Software\Microsoft\Windows\CurrentVersion\Run
键名:Update
键值:%windir%\system32\system32\Update.exe
4、修改系统隐藏属性。
将HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall
下的CheckedValue的值改为0。
5、连接http://218.16.119.73/add.txt下载文件,并根据文件中的地址去网络上下载大量木马病毒运行。
6、连接 下载一个host文件,据此修改hosts文件。 四、解决方案:
1、杀死病毒进程。打开超级巡警,选择进程管理功能,杀死update.exe进程。
2、删除病毒文件。清除以下文件:
%windir%\system32\system32\Update.exe
各个盘符根目录下的ys.exe和autorun.inf文件。
3、清除注册表启动项。删除以下键值:
键路径:HKLM\Software\Microsoft\Windows\CurrentVersion\Run
键名:Update
键值:%windir%\system32\system32\Update.exe
4、修复系统隐藏属性。将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL下的”CheckedValue”= dword:00000001
5、修复hosts病毒文件。打开%windir%\system32\drivers\etc\hosts文件,清除病毒写入的内容。
6、清除其他下载的病毒木马。
五、对预防此病毒的建议:
由于此病毒是通过U盘传播的,所以建议使用超级巡警的U盘免疫对U盘进行免疫,并且废除系统的自动运行功能。在
将U盘插入到电脑时要对U盘进行杀毒,然后再使用。
超级巡警:彻底查杀各种木马,全面保护系统安全。
更多免费工具下载:http://www.dswlab.com
专业的桌面与内容安全产品:http://www.unnoo.com | 
