基本内容

Worm.Win32.Wogue.k

病毒症状

该病毒是一个使用Delphi编写的蠕虫程序，长度为19,968字节，图标为常规可执行文件图标，病毒扩展名为exe。

病毒分析

该蠕虫程序激活后，拷贝自身到C:\Program Files\Common Files\Services目录下并重命名为svchost.exe，将文件属性设置为隐藏和系统；添加注册表启动项，使svchost.exe随系统一起启动；关闭一系列窗口；强行终止某些进程；关闭系统的还原功能；关闭ICS服务；关闭mcshield；修改系统时间，使部分杀毒软件不能正常运行；感染文件msmsgs.exe，并将其注册为自启动项；在各分区和可移动存储介质中释放隐藏病毒文件IO.pif以及autorun.inf，利用Windows自动播放功能进行传播；从以下网址下载病毒文件，存放在本地目录C:\Program Files\Internet Explorer\PLUGINS 下；查找局域网可用共享，试图通过局域网传播。

病毒添加启动项：

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

键值：默认

指向文件：svchost.exe

项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

键值：MSMSGS

指向文件：msmsgs.exe

下载地址：

http://***.cn/hz/1.exe

http://***.cn/hz/2.exe

http://***.cn/hz/3.exe

……

autorun.inf文件内容：