超级巡警团队提醒广大用户，恶意程序Worm.Win32.AutoRun.epl会伪装为windows系统的自动升级程序,并映像劫持大量安全工具，下载其他恶意程序，盗取用户敏感信息。建议用户升级到最新病毒库，进行有效查杀。

 

 

 

     病毒标签：
        　病毒名称：Worm.Win32.AutoRun.epl
      　  病毒类型：蠕虫
  　      危害级别：3
  　      感染平台：Windows
     　   病毒大小：14,389(字节)
  　      S H A 1  ：4d755f9ff6992f7aae809a44ce0ab0a00d9396d2
     　   加壳类型：NSPack 4.1
     　   开发工具： Microsoft Visual C++

 

     病毒行为：
       1、程序运行后，复制自身为以下三个文件：
                   %System%wuauclt.exe
                   %System%dllcachewuauclt.exe
                   %DriveLetter%SVS.pif
          生成文件：
                   %DriveLetter%AUTORUN.INF
                   %DriveLetter%l.tmp　         //此文件用来恢复SSDT
       2、映像劫持以下文件：
                   VsTskMgr.exe、Avp.EXE、Iparmor.exe、KVWSC.EXE、kvsrvxp.exe、KRegEx.exe、
                   AntiArp.exe、VPTRAY.exe、VPC32.exe、scan32.exe、FrameworkService.exe、
                   KASARP.exe、nod32krn.exe、nod32kui.exe、TBMon.exe、rfwmain.exe、
                   RavStub.exerfwstub.exe、rfwProxy.exe、rfwsrv.exe、UpdaterUI.exe、kwatch.exe、
                   KAVPFW.EXE、kavstart.exe、kmailmon.exe、GFUpd.exe、Ravxp.exe、
                   GuardField.exe、RAVMOND.EXE、RAVMON.EXE、CCenter.EXE、RAv.exe、
                   Runiep.exe、360rpt.EXE、360tray.exe、360Safe.exe、SREngLdr.EXE、
                   msconfig.EXE、rfwsrv.EXE、rfwProxy.EXE、rfwstub.EXE、RavStub.EXE、
                   rfwmain.EXE、GFUpd.EXE、GuardField.EXE、Runiep.EXE、kavstart.EXE、
                   kmailmon.EXE、kwatch.EXE、RAV.EXE、KASARP.EXE、ANTIARP.EXE、VPTRAY.EXE、
                   VPC32.EXE、AutoRunKiller.EXE、Regedit.EXE、WOPTILITIES.EXE、Ast.EXE、
                   Mmsk.EXE、Frameworkservice.EXE、KRegEx.EXE、nod32krn.EXE、Nod32kui.EXE、
                   Navapsvc.EXE、KVSrvXP.EXE、Iparmor.EXE、IceSword.EXE、AvMonitor.EXE、
                   AVP.EXE、safeboxTray.EXE、360safebox.EXE、360tray.EXE、360safe.EXE
       3、修改系统隐藏属性，使显示隐藏文件失效。修改访问目录Documents and SettingsAll Users的权限为everyone，以便下载其他文件到这个目录并运行。
       4、下载并运行以下文件：
                   http://m.*****.com/dd/10.exe
                   http://m.*****.com/dd/9.exe
                   http://m.*****.com/dd/8.exe
                   http://m.*****.com/dd/7.exe
                   http://m.*****.com/dd/6.exe
                   http://m.*****.com/dd/5.exe
                   http://m.*****.com/dd/4.exe
                   http://m.*****.com/dd/3.exe
                   http://m.*****.com/dd/2.exe
                   http://m.*****.com/dd/1.exe
                   http://m.*****.com/dd/x.gif
 

       推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    　  　  　  超级巡警下载地址http://www.sucop.com/download/16.htm      

       手工清除方法：
   　     1、结束病毒进程mm.exe。打开超级巡警，选择进程管理功能，终止mm.exe进程。   　    
   　     2、删除以上提到的生成文件。
   　     3、打开超级巡警，选择“工具”、“系统修复”，修复隐藏属性。
   　     4、使用超级巡警修复映像劫持。
 

 

　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设  置为可写或可控制。
　　     5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　     6、禁用不必要的服务。
　　     7、及时更新常用软件，尤其是聊天工具。
　　     8、不要使用IE内核的浏览器。
　　     9、不要随便打开不明来历的电子邮件，尤其是邮件附件。
　　     10、不要随意下载不安全网站的文件并运行。

 
注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
　　     %SystemDrive% 　　     　　            系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　   WINDODWS系统目录
　　     %ProgramFiles%　 　 　　　　        应用程序默认安装目录
　　     %AppData% 　　     　　                  应用程序数据目录
　　     %CommonProgramFiles%　　         公用文件目录
　　     %HomePath% 　　     　　               当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　       当前活动用户临时目录
　　     %DriveLetter% 　　     　　              逻辑驱动器分区
　　     %HomeDrive% 　　　     　　           当前用户系统所在分区