蠕虫Worm.Win32.Small.r行为分析与清除

　　Worm.Win32.Small.r分析

　　安天实验室　　CERT组分析

　　一、病毒标签：

　　病毒名称： Worm.Win32.Small.r

　　病毒类型： 蠕虫类

　　文件 MD5： F342129E825C8199681E832CB5342FCA

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 13,041 字节

　　感染系统： Windows95以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： nSPack 2.1 - 2.5

　　二、病毒描述：

　　该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件。该病毒通过修改windows自动更新服务的ImagePath项，来达到随机启动的目的。病毒创建自身进程，以收集所需要的信息。 该病毒可连接网络进行病毒相关操作。

　　三、行为分析：

　　本地行为:

　　1、 文件运行后会衍生大量病毒副本

　　%Temp% s.bat

　　%Program Files%Common FilesMicrosoft Sharedmaeyu.exe

　　%Program Files%Internet ExplorerConnection Wizardevwfq.exe

　　%Program Files%Windows Media Playergwuuu.exe

　　%Windir%addinswuwsu.exe

　　%Windir%systemoowyg.exe

　　%System32%dllcacheesmqc.exe

　　%System32%driverssvchost.exe

　　%System32%driverswoauq.exe

　　%System32%icyok.exe

　　%System32%IMEqusae.exe

　　%System32%lptrr.exe

　　2、 删除注册表键值

　　[HKEY_LOCAL_MACHINESYSTEMControlSet001ServiceswuauservParameters]

　　注册表值： " ServiceDll "

　　类型： REG_SZ

　　字符串： " C:WINDOWSsystem32wuauserv.dll."

　　描述：删除自动更新对应的DLL项，使自动更新不可用

　　[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauservParameters]