病毒大百科

    这是一个用autoit脚本编写的蠕虫病毒。病毒运行后先复制自身至系统文件夹，然后生成病毒文件，修改注册表以自启动。病毒会自动生成计划任务
程序，以达到每天准时启动病毒。病毒尝试复制自身至每个共享的磁盘，并以磁盘下的目录命名，另外，该病毒的图标是一文件夹，很容易使人不小心点击中毒。
    病毒还会尝试从远程服务器下载以下病毒样本并安装

1.病毒运行后复制自身至
%sys32dir%\scvhost.exe
%sys32dir%\blastclnnn.exe
%windir%\scvhost.exe
%windir%\hinhem.scr
并生成
%sys32dir%\autorun.ini
%windir%\security\tmp.edb
%windir%\Tasks\At1.job
%windir%\Tasks\At2.job

2.生成注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares shared "\New Folder.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NofolderOptions dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule AtTaskMaxHours dword:00000000
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Yahoo Messengger "%sys32dir%\scvhost.exe"

3.自动生成计划任务，自动运行以下文件，并修改注册表设置属性为每天9:00自动运行，注释为："由 NetScheduleJobAdd 创建。"
%sys32dir%\blastclnnn.exe

4.病毒常驻一进程名为scvhost.exe进程，和系统svchost.exe进程相似，有一定的伪装性

5.病毒尝试传播自身，会复制自身至每个共享的磁盘，并以磁盘下的目录命名，如
磁盘名:\目录名.exe

6.尝试从远程服务器下载以下病毒样本并安装
hxxp://setting3.9999mb.com/setting.doc
hxxp://setting3.9999mb.com/setting.xls
hxxp://www.freewebs.com/setting3/setting.doc
hxxp://freewebs.com/nhattruongquang/setting.xls