Después del inicio, aparecerá automáticamente un bloc de notas en el escritorio. ¿Qué pasó?
Nombre del gusano: gusano. Win32.Delf.aj(AVP)
Alías del gusano: troyano. Spy.UsbSpy.a (en ascenso), TrojanSpy. USBSpy.a (Jiang Min)
Tamaño del gusano: 47, 104 bytes
Método de empaquetado: UPX
MD5:07 adddef 653 a 702 b9a 11 EDB CEE 07 e 82 b
CRC32:100A382A
[Fenómeno de epilepsia]:
El Bloc de notas aparecerá automáticamente cuando se encienda la computadora, generando wincfgs.exe, kb 20060111 .exe y otros archivos.
[Análisis de comportamiento]:
1. Cree un mutex USBSpyRunMutex en el registro para evitar infecciones repetidas.
2. Generar en el sistema
C:\%system%\wincfgs.exe (sistema, atributo oculto, de solo lectura)
c:\ % Windows %\kb 20060111.exe (tamaño 66560 bytes, sin virus, programa de bloc de notas).
3. Agregar:
HKLM\Software\Microsoft\Windows NT\Current Version\Windows\Load = "C:\Windows\system32\winCFGs.exe"
p>4. Genere el directorio RECYCLER\RECYCLER y autorun.inf en el dispositivo móvil, y genere autorun.inf y desktop.ini en este directorio.
Contenido de autorun.inf:
[Autorun]
open=. \RECYCLER\RECYCLER\autorun.exe
shell \ 1 =Abrir
shell\1\Command=. \RECYCLER\RECYCLER\autorun.exe
shell \ 2 \ = navegador
shell\2\Command=. \RECYCLER\RECYCLER\autorun.exe
shellexecute=. \RECYCLER\RECYCLER\autorun.exe
Autorun.exe y wincfgs.exe
Contenido de desktop.ini:
[.ShellClassInfo]
CLSID = { 645 ff 040-5081-101 b-9f 08-00aa 002 f 954 e }
Se puede observar que cuando el dispositivo móvil que contiene el virus se conecta al ordenador, el El gusano se ejecutará automáticamente.
El bloc de notas que aparece al iniciar es el archivo KB20060111. Exe. Lanzamiento de KB20060111. Es posible que el archivo Exe no sea un elemento de inicio normal, pero el archivo wincfgs.exe inicia (llama) KB2006010. Es decir el expediente KB 20060111. Exe no es un virus ni un programa de broma en sí mismo. En realidad KB 2006011. Exe es un programa de bloc de notas (es por eso KB 200601165438). Además, si la computadora con wincfgs.exe no se limpia y se vuelve a conectar a un dispositivo de almacenamiento móvil limpio, el dispositivo de almacenamiento móvil puede infectarse nuevamente.
[Método de modificación]
1. Modificar el registro
A. Ejecute "regedit" para iniciar el editor de registro;
B .Eliminar claves de registro individualmente.
HKEY_Usuario actual\Software\Microsoft\Windows NT\Versión actual\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\versión actual\Windows
Cargue el contenido del valor clave en la clave de registro.
Si está preocupado, puede buscar la entrada de registro "wincfgs.exe" y eliminarla.
2. Eliminar archivos
% SystemRoot %\system32\win CFG s
% SystemRoot %\kb 20060111. >3 dispositivos de almacenamiento móvil:
Después de conectar el USB, abra Mi PC, haga clic derecho y seleccione Abrir (no haga clic para abrir ni haga clic para abrir directamente), luego abra Herramientas en la barra de menú-> ;"Opciones de carpeta"->"Ver" y elimine la marca de verificación delante de "Ocultar archivos protegidos del sistema (recomendado)". Elimine desktop.ini, wincfgs.exe y autorun.inf de la unidad flash.
Al mover el disco duro, elimine manualmente los archivos desktop.ini, wincfgs.exe y autorun.inf debajo de cada letra de unidad. .
También existe una manera conveniente de eliminar cambios de registro en lotes:
Copie el siguiente texto en el Bloc de notas y guárdelo como "Wincfgs_kill.bat" (tenga en cuenta que el tipo de archivo al guardar es "todos los archivos").
echo
ts kill kb 20060111
tskillwinCFG
del % windir %\kb 20060111 .exe
del % windir % \ system32 \ win CFG s . exe
reg eliminar "HKEY usuario actual\software\Microsoft\Windows NT\versión actual\Windows" /v "cargar" /f
reg add "HKEY Usuario actual\Software\Microsoft\Windows NT\Versión actual\Windows "/v " load "/t REG _ SZ/d " "/f
Luego ejecute y luego reinicie la computadora.