二、 病毒描述: 该病毒为后门程序。 三、 行为分析: 连接网络并下载: http://nx.51ylb.cn/e47e57844ef30ab4.exe 增加启动项目: HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\3CAAB5F8 HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\3CAAB5F8 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\3CAAB5F8 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\3CAAB5F8 3CAAB5F8为随机字符。 释放文件: *:\auto.exe Date: 11-14-2007 9:09 PM Size: 18,477 bytes *:\autorun.inf Date: 11-21-2007 7:35 PM Size: 78 bytes c:\WINDOWS\system32\1AB63D90.EXE Date: 11-14-2007 9:09 PM Size: 18,477 bytes c:\WINDOWS\system32\CA2940C8.DLL Date: 11-21-2007 7:35 PM Size: 40,960 bytes 1AB63D90.EXE与CA2940C8.DLL为随机字符。 解决方案: 删除注册表启动项目(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作): HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\3CAAB5F8 HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\3CAAB5F8 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\3CAAB5F8 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\3CAAB5F8 删除文件(如遇提示无法删除文件,到down.ayren.cn下载费尔木马强制删除器工具进行强制删除): *:\auto.exe *:\autorun.inf c:\WINDOWS\system32\1AB63D90.EXE c:\WINDOWS\system32\CA2940C8.DLL 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/
