Worm.win32.Autorun.ery是什么病毒。怎么杀?
我是捡了一个U盘,回家用看看,开之前先用瑞星杀过,瑞星说隔离了我才开的文件,应该不要紧吧??请注意下,我是问我的电脑要不要紧,谢谢,麻烦了...
我是捡了一个U盘,回家用看看,开之前先用瑞星杀过,瑞星说隔离了我才开的文件,应该不要紧吧??
请注意下,我是问我的电脑要不要紧,谢谢,麻烦了 展开
请注意下,我是问我的电脑要不要紧,谢谢,麻烦了 展开
3个回答
展开全部
病毒标签
病毒名称: Worm.Win32.Autorun.ery 病毒类型:蠕虫
文件 MD5: 476F8BA41F54238BA132DEC7B6C0B183
公开范围:完全公开
危害等级: 4
文件长度: 9,032 字节
感染系统: Windir98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述
该病毒属蠕虫类,判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当前进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日,复制自身到%HomeDrive%\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,并删除自身文件.感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe,kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件,遍历固定磁盘和可移动磁盘,在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接网络下载大量病毒文件,经分析下载的大量病毒文件多为盗号木马,使用户的网络虚拟财产遭受损失。
行为分析
本地行为:
1、释放病毒文件到以下目录:
%Windir%\Tasks\0x01xx8p.exe 9,032 字节
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk 57,856 字节
2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当然进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日。
3、感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext 然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。
4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件。
5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接http://444.e***.com/config.txt下载大量病毒文件。
网络行为:
协议:TCP
端口:80
连接服务器名:http://444.e***.com/config.txt
IP地址:59.53.88.***
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
瑞星。金山等可以杀。
病毒名称: Worm.Win32.Autorun.ery 病毒类型:蠕虫
文件 MD5: 476F8BA41F54238BA132DEC7B6C0B183
公开范围:完全公开
危害等级: 4
文件长度: 9,032 字节
感染系统: Windir98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述
该病毒属蠕虫类,判断自己是否是在系统盘下的MSDOS.bat,如果是则将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当前进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日,复制自身到%HomeDrive%\spoolsv.exe,%Windir%\Tasks\spoolsv.ext ,%Windir%\Tasks\SysFile.brk,并删除自身文件.感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件,遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe,kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件,遍历固定磁盘和可移动磁盘,在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接网络下载大量病毒文件,经分析下载的大量病毒文件多为盗号木马,使用户的网络虚拟财产遭受损失。
行为分析
本地行为:
1、释放病毒文件到以下目录:
%Windir%\Tasks\0x01xx8p.exe 9,032 字节
%Windir%\Tasks\spoolsv.ext
%Windir%\Tasks\SysFile.brk 57,856 字节
2、判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%Windir%\Tasks,将自身复制到该目录下,判断“%Windir%\Tasks”目录下是否存在0x01xx8p.exe文件,如存在则将其删除,判断当然进程是否存在“avp.exe”,如找到则将系统时间修改为2004年1月1日。
3、感染explorer.exe,先在%Windir%\tasks\释放被感染的explorer.ext 然后再保存到%Windir%\explorer.exe,将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,感染成功后替换原文件。
4、遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束.感染xml/cgi/jsp/php/aspx/asp/shtml/shtm/html/htm文件,删除磁盘现有的所有.gho文件。感染系统目录以外的scr/com/cmd/bat/exe.文件。
5、在各个分区根目录下创建隐藏的系统属性文件autorun.inf和MSDOS.BAT.利用autorun.inf文件特性,使用户双击盘符就会自动运行病毒,隐藏开启IExplore.exe进程连接http://444.e***.com/config.txt下载大量病毒文件。
网络行为:
协议:TCP
端口:80
连接服务器名:http://444.e***.com/config.txt
IP地址:59.53.88.***
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
瑞星。金山等可以杀。
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
