病毒标签

病毒名称： Worm/Win32.AutoRun.aks

病毒类型： 蠕虫

文件 MD5： CDCDD8936F9EE749AFA70198BD1222C4

公开范围： 完全公开

危害等级： 4

文件长度： 173,159 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

病毒描述

该恶意代码运行后以23个字母d-z为盘符匹配每个盘符下是否存在“rosftpm.exe”，停止服务、删除注册表对“umqhool.exe”病毒文件的映像劫持，添加注册表启动项，删除%Program Files%\Common Files\目录下内System、Microsoft Shared文件夹内的“umqhool.exe”、“mvlatna.exe”文件，并重新拷贝自身分别到以上2个目录下创建同名文件，并将以上2个文件夹隐藏不可见，调用函数打开拷贝后的病毒文件分别创建2个进程，病毒利用了进程互锁、互相监视如现在一个被结束另一个则从新启动病毒运行，再非系统分区下创建autorun.inf、rosftpm.exe病毒文件，使得双击盘符打开病毒文件，创建线程监视部分安全工具窗口标题如发现则向其发送关闭消息，遍历进程查找AVP.EXE找到之后将系统时间设置为1980-01-23，对NTFS格式磁盘对dld.dat文件进行提权操作，复制自身到%Program Files%目录下，连接网络下载病毒文件。

行为分析-本地行为

1、病毒运行后以23个字母d-z为盘符匹配每个盘符下是否存在“rosftpm.exe”，停止服务、删除注册表对“umqhool.exe”病毒文件的映像劫持，删除%Program Files%\Common Files\目录下内System、Microsoft Shared文件夹内的“umqhool.exe”、“mvlatna.exe”文件，并重新拷贝自身分别到以上2个目录下创建同名文件，并将以上2个文件夹隐藏不可见。

2、文件运行后会释放以下文件

%Program Files%\Common Files\System\umqhool.exe

%Program Files%\Common Files\System\jbrrjmm.inf

%Program Files%\Common Files\Microsoft Shared\mvlatna.exe

%Program Files%\Common Files\Microsoft Shared\jbrrjmm.inf

%Program Files%\meex.exe