預警！ 新蠕蟲病毒偽裝成windows升級程序

 

 

 

     病毒標簽：
        　病毒名稱：Worm.Win32.AutoRun.epl
      　  病毒類型：蠕蟲
  　      危害級別：3
  　      感染平臺：Windows
     　   病毒大小：14,389(字節)
  　      S H A 1  ：4d755f9ff6992f7aae809a44ce0ab0a00d9396d2
     　   加殼類型：NSPack 4.1
     　   開發工具： Microsoft Visual C++

 

     病毒行為：
       1、程序運行后，復制自身為以下三個文件：
                   %System%wuauclt.exe
                   %System%dllcachewuauclt.exe
                   %DriveLetter%SVS.pif
          生成文件：
                   %DriveLetter%AUTORUN.INF
                   %DriveLetter%l.tmp　         //此文件用來恢復SSDT
       2、映像劫持以下文件：
                   VsTskMgr.exe、Avp.EXE、Iparmor.exe、KVWSC.EXE、kvsrvxp.exe、KRegEx.exe、
                   AntiArp.exe、VPTRAY.exe、VPC32.exe、scan32.exe、FrameworkService.exe、
                   KASARP.exe、nod32krn.exe、nod32kui.exe、TBMon.exe、rfwmain.exe、
                   RavStub.exerfwstub.exe、rfwProxy.exe、rfwsrv.exe、UpdaterUI.exe、kwatch.exe、
                   KAVPFW.EXE、kavstart.exe、kmailmon.exe、GFUpd.exe、Ravxp.exe、
                   GuardField.exe、RAVMOND.EXE、RAVMON.EXE、CCenter.EXE、RAv.exe、
                   Runiep.exe、360rpt.EXE、360tray.exe、360Safe.exe、SREngLdr.EXE、
                   msconfig.EXE、rfwsrv.EXE、rfwProxy.EXE、rfwstub.EXE、RavStub.EXE、
                   rfwmain.EXE、GFUpd.EXE、GuardField.EXE、Runiep.EXE、kavstart.EXE、
                   kmailmon.EXE、kwatch.EXE、RAV.EXE、KASARP.EXE、ANTIARP.EXE、VPTRAY.EXE、
                   VPC32.EXE、AutoRunKiller.EXE、Regedit.EXE、WOPTILITIES.EXE、Ast.EXE、
               &