[转载] 警惕Worm.Win32.VB.fu蠕虫病毒

转帖:警惕Worm.Win32.VB.fu蠕虫病毒
　　
Worm.Win32.VB.fu病毒属蠕虫类，病毒运行后衍生病毒文件到系统目录下，修改注册表，添加启动项，以达到随机启动的目的，修改系统时间，修改 IE 主页，病毒在每个盘符下新建一个 autorun.inf 文件，使用户双击盘符时自动运行病毒；关闭 Cryptographic Services 服务；删除 GHO 文件；检测窗体标题栏中如果含有运行、文件夹选项则关闭窗体；尝试结束部分反毒软件的服务，修改文件 txt 、 ini 、 log 的文件关联，当用户试图运行 txt 、 ini 、 log 的文件时，病毒就会运行起来。修改部分正常程序的路径，当用户运行这些程序时，实际上运行的是病毒文件。
清除方案：
1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　　(1) 使用安天木马防线 “进程管理”关闭病毒进程
　　　　　　Syssafe.exe
　　　　　　Info.exe
　　 (2) 删除病毒文件
　　　　　　c:\autorun.inf
　　　　　　c:\info.exe
　　　　　　c:\WINDOWS\system32\drivers\IsDrv118.sys
　　　　　　c:\WINDOWS\system32\drivers\IsDrv120.sys
　　　　　　x:\autorun.inf
　　　　　　x:\info.exe
　　　　　　
　　　　　　注： x:\autorun.inf 中 x 代表能用盘符。
　　 (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
　　　　　　CurrentVersion\Winlogon
　　　　　　新建键值 : 字串 : "Shell"="Explorer.exe"
　　　　　　原键值 : 字串 : "Shell"="Explorer.exe C:\info.exe"
　　　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\
　　　　　　CurrentVersion\Run
　　　　　　键值 : 字串 : "B-A-I-D-U-C-O-M"="C:\info.exe"
　　　　　　在注册表中搜索 info.exe ，把搜索到的键值全部删除。

[ 本帖最后由 chinanic 于 2007-3-23 07:03 编辑 ]