病毒名称:VBS.Runauto.G
病毒类型:蠕虫
受影响的操作系统:Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析:
近期我们发现了一个开启计算机后门的蠕虫--VBS.Runauto.G。该蠕虫会采用一些手段来破坏安全软件的运行以及隐藏自身真实企图。
首先,VBS.Runauto.G将自身拷贝到系统目录System32下,并命名为regedit.sys。接下来,它会释放出后门程序win.exe到Windows目录并运行。win.exe会开启计算机后门,自动连接到指定域名如rahmaa.[REMOVED].info和alrefai.[REMOVED].biz。 随后VBS.Runauto.G将修改注册表,添加大量的注册表项,以达到以下目的:
1) 使自身可随系统自动启动;
2) 通过映像劫持阻止包括安全软件在内的多种程序的运行,令安全软件失效;
3) 使用户无法查看隐藏文件和文件后缀;
4) 令该蠕虫可自动播放。
最后, VBS.Runauto.G为了迷惑用户,会启动Explorer资源管理器并显示蠕虫初始运行时所在的文件夹,使用户误以为该蠕虫的目的只是打开文件夹,而忽略了其真实企图——开启您计算机的后门。
VBS.Runauto.G主要通过移动存储设备和网络共享这两种途径传播。除拷贝自身以外,蠕虫还会同时拷贝对应的autorun.inf,实现自动播放。
诺顿安全专家建议:
诺顿安全软件可防止自身文件被篡改或进程被中止,为计算机提供持续有效的防护。
禁用可移动存储设备的“自动运行”功能。
谨慎访问其它计算机的网络共享文件。
没有安装安全软件的用户可以访问 http://www.symantec.com.cn/trialware 下载诺顿360、诺顿网络安全特警2009或诺顿防病毒2009试用版对病毒进行查杀。
使用诺顿2006版本及之后产品的现有用户,可以免费将产品升级至诺顿2009版本,升级网址http://www.symantec.com.cn/nuc。
网友评论