档案编号:CISRT2007024
病毒名称:Worm.Win32.Agent.t(Kaspersky)
病毒别名:Worm.Troj.Agent.t.51200(毒霸)
Worm.Skla.a(瑞星)
病毒大小:51,200 字节
加壳方式:PE_Patch.PECompact PecBundle PECompact
样本MD5:31be55fe725959235f6f031834640a06
样本SHA1:69b6a642c89e3f5c6d4e76328aca4b6a5266661a
发现时间:2007.1
更新时间:2007.1
关联病毒:
传播方式:恶意网页、其它病毒下载,可通过U盘移动硬盘等移动存储设备传播
技术分析
==========
这个病毒会在每个分区下释放病毒副本,文件名随机,通过autorun.inf利用系统
“自动播放”功能运行,此外,病毒还会将计算机系统时间年份调到1980年,
这样做可以使得某些反病毒软件不能正常工作。
病毒运行后向系统目录复制副本:
%Windows%\{随机字母文件名}.exe
向各分区复制副本:
X:\{随机字母文件名}.exe
X:\Autorun.inf
方法一
预防:
先在任务管理器里结束sxs2.exe进程。
使用U盘和MP3时,先用WINRAR查看U盘和MP3 里有没有病毒文件。如果有,
立即删除,再安全删除硬件。如果删除不了硬件,可以重新启动电脑,再拔除。
关于电脑中的病毒:
1. 先在任务管理器里结束sxs2.exe进程。
2.用WINRAR查看C,D,E,F盘根目录,删除病毒文件。如:autorun开头的病毒文件,
sxs2的病毒文件。注意autoexe不要删啊。
3.使用注册表:打开注册表,查找sxs2.exe和sxs2.exe,把项全部删掉。
PS:使用WINRAR查看的方法。
WINRAR是压缩工具,一般电脑上都装了。如果没有,校内网可以去
http://vus.cau.edu.cn
下载。或主页上FTP下载。
1. 从开始-------所有程序-------WINRAR-------进入WINRAR界面。
2. 文件------浏览文件夹------选择各盘目录(不用进入文件夹)
3. 删除病毒文件(一定要分清系统文件和病毒文件)
方法四:
清除步骤
==========
1. 结束病毒进程:
%Windows%\{随机字母文件名}.exe
2. 删除病毒文件:
%Windows%\{随机字母文件名}.exe
3. 通过分区右键菜单的“打开”进入分区根目录,删除根目录下的病毒文件:
X:\{随机字母文件名}.exe
X:\Autorun.inf
4. 编辑注册表,删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="%System%\userinit.exe,"
Windows XP/2003例:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\System32\userinit.exe,"
Windows 2000例:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINNT\System32\userinit.exe,"
5. 编辑修改注册表“自动播放”设置,建议设置如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000ff
6. 编辑注册表恢复“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 调整系统时间到当前正常年份(或合适年份)
方法五:
【注意 本文中的 * 不是通配符的 * 切记切记。 】
又是个U盘病毒..文件名随机..
具体写个分析..
运行样本生成文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.exe
X:\Autorun.inf
X=C D E F H .... *=大小写字 
