病毒大百科

病毒成功在客户计算机上运行后删除自身。

病毒修改 NoDriveTypeAutoRun 值,允许自动运行。

通过查找卡巴驱动文件的方法判断客户计算机是否安装卡巴杀软,如果安装了则生成一个一批处理并运行,把系统时间改为"1981-01-12"。

创建线程查找以下窗口类和标题:
#32770 - IE 执行保护
#32770 - IE执行保护
#32770 - 瑞星卡卡上网安全助手 - IE防漏墙
如查找到以上窗口则模拟发送"确定"消息。(允许病毒运行)

从指定的网址上下载大量的木马程序、感染型病毒到客户计算器上运行。

生成的文件:
%SystemRoot%\System32\Sert.exe
每个盘根目录下\sert.exe
每个盘根目录下\AutoRun.inf

AutoRun.inf 内容:
[AutoRun]
open=sert.exe
shellexecute=sert.exe
shell\Auto\command=sert.exe

添加的注册表:
注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWSVIS
注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsvis

木马、感染型病毒下载地址:
hxxp://web.freewebhtm.com/soft/1.exe
hxxp://web.freewebhtm.com/soft/2.exe
hxxp://web.freewebhtm.com/soft/3.exe
hxxp://web.freewebhtm.com/soft/4.exe
hxxp://web.freewebhtm.com/soft/5.exe
hxxp://web.freewebhtm.com/soft/6.exe
hxxp://web.freewebhtm.com/soft/7.exe
hxxp://web.freewebhtm.com/soft/8.exe
hxxp://web.freewebhtm.com/soft/9.exe
hxxp://web.freewebhtm.com/soft/a.exe
hxxp://web.freewebhtm.com/soft/b.exe
hxxp://web.freewebhtm.com/soft/c.exe
hxxp://web.freewebhtm.com/soft/d.exe
hxxp://web.freewebhtm.com/soft/e.exe
hxxp://web.freewebhtm.com/soft/f.exe
hxxp://web.freewebhtm.com/soft/g.exe

总结:典型的Autorun型的病毒,只要客户通过双击电脑上的各个盘都会运行此病毒,病毒会通过查找杀软文件修改系统时间和创建线程查找窗口来发送确定消息逃过杀软,病毒会从指定的网址下载大量的病毒,盗取客户计算机上的资料。