AutoRun病毒剖析

最近出现新的病毒名为熊猫烧香，危害较大，感染后所有EXE可执行文件图标变成一个烧香的熊猫，大家电脑如出现此现象可认真阅读以下文章：一、病毒描述：含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf 文件，使得用户打开该盘时激活病毒体。

随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况：[文件信息]病毒名: Virus.Win32.EvilPanda.a.ex$大小: 0xDA00 (55808), (disk) 0xDA00 (55808)SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D壳信息: 未知危害级别：高病毒名: Flooder.Win32.FloodBots.a.ex$大小: 0xE800 (59392), (disk) 0xE800 (59392)SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24危害级别：高三、病毒行为：Virus.Win32.EvilPanda.a.ex$ ：1、病毒体执行后，将自身拷贝到系统目录：%SystemRoot%\system32\FuckJacks.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Userini t "C:\WIN2K\system32\SVCH0ST.exe"2、添加注册表启动项目确保自身在系统重启动后被加载：键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名：FuckJacks键值："C:\WINDOWS\system32\FuckJacks.exe"键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名：svohost键值："C:\WINDOWS\system32\FuckJacks.exe"3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

如何清除通过U盘传播的recycler蠕虫病毒清理本机上的病毒：1：首先打开我的电脑-工具-查看-把文件夹选项改为显示受保护的系统文件，显示所有文件，显示扩展名，因为后面要删除的wincfgs.exe的属性是隐藏，只读，系统，普通查看方式找不到。

2：然后打开任务管理器，杀掉wincfgs.exe进程，仔细找。

3：打开msconfig（开始--运行--msconfig），去掉wincfgs.exe（没有省略）。

4：打开注册表（regedit）查找wincfgs.exe（我喜欢用这个，方便并且保险），找到的一律删除。

如果你有兴趣，自己找吧HKLM \SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows 其中Load = “C:\ windows\system32\wincfgs.exe”删掉它。

还有HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSConfig\startupreg\Load 删HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache 删推荐搜索啦。

5：找到c:/windows/KB20060111.exe（记事本图标）和c:/windows/system32/wincfgs.exe（问好图标）删掉。

手动清理mp3/u盘上的病毒：首先确认一下是否感染病毒，最简单的就是看看右键菜单是否异常，如果感染了，往下看。

1、设置一下能看到系统隐藏文件，显示文件扩展名。

2、按住键盘上的“Shift”键，插入优盘打开U盘/MP3时不要双击,右键选打开,不要选英文的OPEN。

找到recycler文件夹，删，再删除autorun.exe和autorun.inf.3、并找一下u盘里所有的文件夹下是否有对应的文件夹名（图标也是文件夹的）的 .exe 文件，删除之。

【摘要】：凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。

所以从这个意义上说，蠕虫也是一种病毒。

蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。

与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。

本文主要介绍蠕虫病毒的分类、概念、特点传播途径、典型蠕虫、防范措施和发展趋势等。

【关键词】：蠕虫病毒影响防范发展目录第一章蠕虫病毒概述 (1)1.1 蠕虫病毒的概念 (1)1.2 蠕虫病毒的成因 (1)1.3 蠕虫病毒的特性 (1)第二章蠕虫病毒分析 (2)2.1 蠕虫病毒分类分析 (2)2.1.1主机蠕虫 (2)2.1.2 网络蠕虫 (2)2.2 蠕虫病毒传播途径 (2)2.3 典型蠕虫病毒 (3)2.3.1 熊猫烧香病毒的概念 (3)2.3.2 熊猫烧香病毒的危害 (3)2.3.3熊猫烧香病毒的现象 (3)第三章蠕虫病毒的防范 (5)3.1 怎样防范蠕虫病毒 (5)3.2 蠕虫病毒的解决方案（例：熊猫烧香病毒） (6)第四章蠕虫病毒发展趋势 (11)参考文献 (12)第一章蠕虫病毒概述1.1 蠕虫病毒的概念1.2 蠕虫病毒的成因利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”，以及依然肆虐的“求职信”等。

由于IE浏览器的漏洞（IFRAMEEXECCOMMAND），使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活，而此前即便是很多防病毒专家也一直认为，带有病毒附件的邮件，只要不去打开附件，病毒不会有危害。

“红色代码”是利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播，SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。

1.3 蠕虫病毒的特性蠕虫和传统病毒都具有传染性和复制功能，这两个主要特性上的一致，导致人们在二者之间非常难区分。

尤其是近年来，越来越多的传统病毒采取了部分蠕虫的技术，而具有破坏性的蠕虫也采取了部分传统病毒的技术，从而更加剧了这种情况。

w32.downadup.b蠕虫病毒详解及清除攻略最近经常到几个工厂走动，发现有的局域网都感染受了W32.Downadup.B蠕虫病毒。

杀毒软件可以查杀，但是都不彻底，一边清除，一边又继续生成，让人不胜其烦。

发这篇日志，就是让今后遇到该问题的朋友能够舒心点。

W32.Downadup.B可利用Microsoft Windows服务器服务RPC的远程代码执行漏洞进行传播，也可利用弱密码保护的网络共享进行感染。

W32.Downadup.B会在硬盘上新建autorun.inf 文件，若用户进入硬盘空间，恶意代码便会自动运行。

同时，它还会监控是否有其他可移动存储设备连接到已感染病毒的计算机上。

一旦连接，此蠕虫病毒会在这个新硬盘空间建立一个autorun.inf文件。

此外，W32.Downadup.B还会监测计算机发出的DNS请求中是否有某些特定字符串，并以“超时，访问不成功”的方式阻止计算机访问某些网站（如安全更新网站）。

这意味着受感染的计算机可能无法安装补丁或更新杀毒软件，从而无法清除病毒威胁。

W32.Downadup.B病毒介绍Worm:W32/Downadup.AL [F-Secure], Win32/Conficker.B [Computer Associates],W32/Confick-D [Sophos], WORM_DOWNAD.AD [Trend], Net-Worm.Win32.Kido.ih [Kaspersky] 蠕虫Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XPW32.Downadup.B是蠕虫病毒，通过攻击 Microsoft Windows Server Service RPC Handling 远程编码执行漏洞 (BID 31874) 进行传播。

（2012届）专科毕业设计（论文）计算机网页病毒的剖析与防御学院（系）：计算机技术与软件工程学院专业：计算机网络技术学生姓名：班级：学号：指导老师：职称：最终评定成绩：2011年12月计算机网页病毒的剖析与防御摘要：如今，上网浏览信息和收发电子邮件已经是一件很普通的事情，但随之而来却是邮件病毒和网页病毒的泛滥流行。

2000年5月4日欧美爆发的“爱虫”网络蠕虫病毒，由于是通过电子邮件系统传播，因此在短短几天内狂袭了全球数百万的电脑。

微软、Intel等在内的众多大型企业网络系统瘫痪，全球经济损失达几十亿美元。

而“新欢乐时光”病毒至今都让广大电脑用户苦不堪言。

这些病毒最大的共同特点就是使用VB Script编写。

VB Script脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过用一些现成的Windows 对象、组件，可以直接对文件系统、注册表等进行控制。

原本是为了弥补HTML 语言的缺陷，提供在网页中与Web客户交互的功能，但用心不良者却利用他们来制造网页病毒。

本文对网页病毒这个“新概念”、网页病毒形成原理和主要攻击方式进行了阐述，通过长期对网页病毒的制作方式、制作技术的观察和分析，初步形成了以基本防御、一般手工清理、高级手工清理为四个层次的“四步骤”网页病毒防御策略。

关键词：网页病毒；Windows脚本宿主；浏览器；注册表；系统进程The computer web virus analysis and defenseAbstract：Today, Internet browsing and e-mail message is a very common thing, but it is followed by e-mail viruses and Web virus epidemics. May 4, 2000 in Europe and America broke out of the "Love Bug" network worm, because it is spread through e-mail system, so within a few days Kuang Xi millions of computers around the world. Microsoft, Intel, including many large-scale enterprise network system failures, global economic losses of several billion dollars. "New Happy Hour" virus majority of computer users today are so miserable.Most common feature of these viruses is the use of VB Script writing. VB Script scripting language is very powerful, they use the open characteristics of the Windows system, by using some of the existing Windows objects, components, can be directly on the file system, registry and other control. Was originally designed to compensate for defects in the HTML language, provide customer interaction with the Web page functions, but those who have bad intentions to use them to create web viruses.In this paper, Web virus this "new concept" virus formation and of the main page attack are described, through long-term virus production methods on the web, production techniques of observation and analysis, initially formed a basic defense, general manual cleanup, senior manual cleaning for the four levels of the "four steps" Web viral defense strategy.KeyWords：Web virus; Windows scripting host; The browser; The registry; System process目录第1章绪论 (1)第2章网页病毒的概述 (3)2.1、什么是网页病毒 (3)2.2、网页病毒危机的形成原因 (4)2.3、网页病毒的攻击方式 (5)2.4、网页病毒的发展趋势 (5)2.5、网页病毒的种类 (6)第3章网页病毒技术机理分析 (8)3.1、网页病毒的制作方式 (8)3.2、几种网页病毒制作技术分析 (9)3.3、网页病毒的特征 (11)3.4、网页病毒的传播手法 (11)第4章网页病毒的防御对策 (12)4.1、网页病毒的基本防御 (12)4.2、网页病毒一般清理 (14)4.3、网页病毒一般手工清理 (15)4.4、未知网页病毒的高级手工清理 (18)第5章结束语 (21)参考文献 (23)附录一Nimda蠕虫病毒剖析 (24)附录二走进WSH (26)致谢 (32)第1章绪论随着互联网在社会生活中的深入应用和发展，网页技术也在不断改进和升级，由最初仅支持简单的纯文本静态页面，到现在DHTML、Java、ActiveX、Flash、流媒体等新技术的引入，使得网页功能更加丰富多彩的同时，也给网页病毒的滋长提供了温床。

十大流行病毒及各自特征十大流行病毒及各自特征描述,下面由店铺给你做出详细的流行病毒及各自特征描述介绍!希望对你有帮助!十大流行病毒及各自特征：一、ANI病毒病毒名称：Exploit.ANIfile病毒中文名：ANI病毒病毒类型：蠕虫危险级别：影响平台：Windows 2000/XP/2003/Vista描述：以Exploit.ANIfile.b为例，“ANI毒”变种b是一个利用微软Windows系统ANI文件处理漏洞(MS07-017)进行传播的网络蠕虫。

“ANI毒”变种b运行后，自我复制到系统目录下。

修改注册表，实现开机自启动。

感染正常的可执行文件和本地网页文件，并下载大量木马程序。

感染本地磁盘和网络共享目录下的多种类型的网页文件(包括*.HTML，*.ASPX，*.HTM，*.PHP，*.JSP，*.ASP)，植入利用ANI文件处理漏洞的恶意代码。

自我复制到各逻辑盘根目录下，并创建autorun.inf自动播放配置文件。

双击盘符即可激活病毒，造成再次感染。

修改hosts文件，屏蔽多个网址，这些网址大多是以前用来传播其它病毒的站点。

另外，“ANI毒”变种b还可以利用自带的SMTP 引擎通过电子邮件进行传播。

二、U盘寄生虫病毒名称：Checker/Autorun病毒中文名：U盘寄生虫病毒类型：蠕虫危险级别：影响平台：Win 9X/ME/NT/2000/XP/2003描述：Checker/Autorun“U盘寄生虫”是一个利用U盘等移动设备进行传播的蠕虫。

“U盘寄生虫”是针对autorun.inf这样的自动播放文件的蠕虫病毒。

autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。

U盘防毒最强方案(创建删不掉的autorun.inf文件夹)病毒，每个人都深受其害，痛恨不已，特别是现在移动设备MP3、MP4、手机、U盘、移动硬盘飞速发展的时代，病毒也随着这些移动设备和网络快速蔓延和滋生，所以如何防止病毒入侵到自己的爱机和移动设备上就太重要了。

在网络上曾经有人提出在硬盘根目录和移动设备根目录下建立一个文件夹，名字就叫autorun.inf，用来防止利用借助autorun.inf文件进行传播的病毒。

因为有很大一部分病毒特别是U盘对病毒的传播要借助autorun.inf文件。

病毒首先把自身复制到u盘,然后创建一个autorun.inf，当你在插入U盘或者双击u盘时，autorun.inf 中的设置会运行u盘中的病毒。

我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了，大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它。

在根目录下，删除autorun.inf文件后，建立一个文件夹，名字就叫autorun.inf。

这是根据同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了。

但现阶段已经有变种的新病毒，自动去删文件夹，然后再建立autorun.inf文件，这种方法已经不是那么的有效了，所以要对这种方法进行改进。

在autorun.inf文件夹里面创建一个带.的文件夹，使得病毒无法删除autorun.inf文件夹，病毒就无能为力，创建不了autorun.inf文件了。

以后就算中毒，病毒也不会运行，从而达到了防止中毒的目的。

具体方法如下:要创建window下无法删除的目录可以在（运行CMD）命令提示符中输入(将c:\改为目录所在路径)md c:\autorun.infmd c:\autorun.inf\killvirus..\要删除时rd c:\autorun.inf\killvirus..\ rd c:\autorun.inf--------------------------可以编辑的精品文档，你值得拥有，下载后想怎么改就怎么改---------------------------或者rd /s /q c:\autorun.inf怎样删除autorun.inf文件夹也许，你的电脑的每个分区根目录都有一个autorun.inf的文件夹，查看属性是只读+隐藏，且无法删除、无法取得权限！点进去，却显示的是控制面板的内容？、--------------------------可以编辑的精品文档，你值得拥有，下载后想怎么改就怎么改---------------------------其实这个不是病毒，而是用来防病毒，一些系统封装工具本身就自带。

你的电脑中了熊猫烧香病毒，要解决的办法是硬盘格式化（也就是重新分区），因为你的电脑病毒已经不只在一个盘了。

在重装系统的时候建议你换一个能防止类式病毒的操作系统。

现把你电脑所中病毒介绍如下：Cool_gamesetup.exe山寨版熊猫烧香病毒病毒名：win32.bmw.j.75783病毒体大小：74.0 KB (75,783 字节)病毒类型：熊猫烧香变种二、病毒行为这是一个熊猫烧香的变种，伪装成毒霸的图标来迷惑用户，它还会下载其他病毒并执行。

1.病毒会删除安全软件的开机启动项目和服务项目。

2.每1秒添加自己的启动项，并将文件隐藏显示注册表键值破坏。

3.每隔6秒在每个驱动器下（A和B驱动器除外），删除所在的autorun.inf文件或文件夹，并创建autorun.inf和对应的 .exe文件。

4.每隔6秒停止部分安全软件服务，删除部分安全软件的服务和开机自启动项目。

5.每10秒关闭以下进程，并添加映像劫持，指向ntsd -davp.exe rav.exe rsagent.exe ravmon.exe ravmond.exeravstub.exe ravtask.exe ccenter.exe 360tray.exe 360safe.exe6.每30分钟下载一次木马/down/down.txt。

7.病毒会感染扩展名为exe、pif、com、src的文件，把自己附加到文件的头部，并在扩展名为htm、html、asp、php、jsp、aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的。

且该网页有漏洞，新变种的病毒会被下载并运行。

感染时排除以下文件夹中的文件WINDOW Winnt winrar system32 Documents and Settings System Volume Information RecycledWindows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeetingCommon Files ComPlus Applications Messenger InstallShield Installation Information MSNMicrosoft Frontpage Movie Maker MSN Gamin Zone也不感染和rar后缀的文件。

WORD文档杀手病毒手工删除方法一、电脑中毒现象病毒通称为“WORD文档杀手”，病毒主体文件为 c:\windows\doc.exe 或者c:\windows\doc1.exe ，病毒运行后，搜索硬盘中所有的Word文档并将硬盘里面的所有的word 文档建立一个列表，输出到c:\ww.txt文件中，然后逐一将这些word文件删除，在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为“.com”。

同时此病毒还能修改注册表键值，以达到隐藏扩展名的目的。

并锁定文件夹查看隐藏文件的选项，不允许显示隐藏文件。

在用户看来，所有的word文件就像突然消失了一样。

该病毒采用VB语言编写，病毒主体文件为 c:\windows\doc.exe 或者 c:\windows\doc1.exe ，并且该病毒文件会模拟成Word文档的图标：病毒运行后，会在C盘根目录下生成病毒文件c:\ww.bat 和c:\ww.txt ，其中 ww.bat文件内含有批处理程序，搜索硬盘中所有的Word文档：dir c:\*.doc /a/b/s >>c:\ww.txtdir d:\*.doc /a/b/s >>c:\ww.txtdir e:\*.doc /a/b/s >>c:\ww.txt这样，病毒就将硬盘里面的所有的DOC文档建立一个列表，输出到c:\ww.txt文件中，然后逐一将这些DOC文件删除，在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为.COM。

同时此病毒还能修改注册表键值，以达到隐藏扩展名的目的。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]"CheckedValue" = dword:00000001"UncheckedValue" = dword:00000001这样用户无论如何查看文件扩展名都是无法显示的。

熊猫烧香熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。

对计算机程序、系统破坏严重。

主讲内容•基本信息•病毒描述•中毒症状•病毒危害•传播方法•传播对象和运行过程•杀毒方法•解决方法基本信息•病毒名称：熊猫烧香，Worm.WhBoy.（金山称），Worm.Nimaya.（瑞星称）•病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”。

•危险级别：★★★★★•病毒类型：蠕虫病毒，能够终止大量的反病毒软件和防火墙软件进程。

•影响系统：Win 9x/ME、Win2000/NT、Win XP、Win 2003 、Win Vista、WIN 7•发现时间：2006年10月16日来源地：中国武汉东湖高新技术开发区关山。

病毒描述其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

但原病毒只会对EXE图标进行替换，并不会对系统本身进行破坏。

而大多数是中的病毒变种，用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST 的备份文件，使用户的系统备份文件丢失。

被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

中毒症状除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。

中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。