超级巡警团队监测到恶意程序Worm.Win32.AutoRun.rwg正在传播。病毒通过在磁盘根目录下创建autorun.inf达到自我传播的目的，下载并运行多种病毒及盗号木马盗取用户的游戏账号等。病毒还会使用映像劫持等手法破坏安全软件，并阻止用户打开杀毒网站等手法来阻止用户杀毒。超级巡警团队提醒广大用户及时更新病毒库，对该程序进行有效查杀。

 

        　 病毒标签：
        　 病毒名称：Worm.Win32.AutoRun.rwg
        　 病毒别名：AutoRun变种
        　 病毒类型：蠕虫类
        　 危害级别：2
        　 感染平台：Windows
        　 病毒大小：24,576 Byte
        　 S H A 1  ：efef9dc6ae4169c51ddf9829bcf5ed178f15b12a
        　 加壳类型：ASPack 2.12 -> Alexey Solodovnikov
        　 开发工具：Microsoft Visual C/C++

 

      病毒行为：

　　     1、在各个磁盘根目录下创建autorun.inf和HBHP.pif文件，达到双击磁盘时自动运行病毒，及移动存储设备传播的目的。

 

　　     2、复制系统文件wuauclt.exe到C:\tttmm.tep，破坏windows文件保护后。用病毒文件覆盖%windir%\system32\dllcache\wuauclt.exe和%windir%\system32\wuauclt.exe。

 

　　     3、添加如下注册表启动项，达到随explorer启动而启动的目的。
                     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
\explorer\run
                     "internetnet"="C:\\windows\\system32\\wuauclt.exe"

　　     4、修改系统时间为2004年，禁用卡巴斯基并阻止杀软更新。

　　     5、修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为00000000，使隐藏文件无法显示。

　　     6、删除以下注册表项，破坏安全模式，导致无法启动系统到安全模式来杀毒。
                     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal \{4D36E967-E325-11CE-BFC1- 08002BE10318}，                                             
                     HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\network \{4D36E967-E325-11CE-BFC1-08002BE10318}。

　　     7、删除以下文件：
                     %windir%\system32\mfc71.dll
                     %ProgramFiles\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll

　　     8、结束进程safeboxTray.exe。

　　     9、映像劫持以下文件，导致相应安全软件无法运行：
                     Ast.exe、360rpt.exe、360safe.exe、360tray.exe、360safebox.exe、AVP.exe、 AvMonitor.exe、CCenter.exe、 IceSword.exe、Iparmor.exe、KVMonxp.kxp、KVSrvXP.exe、KVWSC.exe、Navapsvc.exe、 Nod32kui.exe、nod32krn.exe、KRegEx.exe、Frameworkservice.exe、Mmsk.exe、 WOPTILITIES.exe、Regedit.exe、AutoRunKiller.exe、 VPC32.exe、VPTRAY.exe、ANTIARP.exe、KASARP.exe、RAV.exe、kwatch.exe、 kmailmon.exe、kavstart.exe、KAVPFW.exe、Runiep.exe、GuardField.exe、 GFUpd.exe、rfwmain.exe、RavStub.exe、rfwstub.exe、rfwProxy.exe、rfwsrv.exe、 msconfig.exe、SREngLdr.exe、ArSwp.exe、RSTray.exe、QQDoctor.exe、 TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、PFW.exe、HijackThis.exe、 AutoRun.exe、KPfwsvc.exe、kissvc.exe、kav32.exe。

　　     10、关掉黑名单中的杀毒软件进程，使当前系统失去保护。

　　     11、病毒通过驱动突破杀毒软件主动防御，使杀毒软件无法运行。

　　     12、运行一个僵尸IE进程，复制病毒代码到僵尸IE进程，并创建远程线程执行病毒代码。

　　     13、设置以下文件访问权限为everyone完全控制。
                     c:\windows\system32\pthreadvc.dll
                     c:\windows\system32\wpcap.dll
                     c:\windows\system32\drivers\npf.sys
                     c:\windows\system32\npptools.dll
                     c:\windows\system32\drivers\acpidisk.sys
                     c:\windows\system32\wanpacket.dll
                     c:\documents and settings\all users\「开始」菜单\程序\启动

　　     14、复制urlmon.dll为dkmsskmgrs.dll，动态加载，获取URLDownloadToFileA函数地址后下载并运行以下病毒文件：
                     hxxp://x.cdd6.com/**/x.gif
                     hxxp://x.cdd6.com/**/1.exe
                     hxxp://x.cdd6.com/**/2.exe
                     hxxp://x.cdd6.com/**/3.exe              
                     hxxp://x.cdd6.com/**/4.exe  
                     hxxp://x.cdd6.com/**/5.exe  
                     hxxp://x.cdd6.com/**/6.exe  
                     hxxp://x.cdd6.com/**/7.exe
                     hxxp://x.cdd6.com/**/8.exe  
                     hxxp://x.cdd6.com/**/9.exe  
                     hxxp://x.cdd6.com/**/10.exe
  
二、解决方案

       推荐方案： 安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    　  　  　    超级巡警下载地址：http://www.sucop.com/download/16.html

       手工清除方法：
　　     1、将超级巡警主程序ast.exe重新命名。

　　     2、结束病毒进程。运行超级巡警，选择【分析】-->【进程管理】，终止以下进程：
                     %ProgramFiles%\Internet Explorer\IEXPLORE.EXE
                     %windir%\system32\dllcache\wuauclt.exe
                     %windir%\system32\wuauclt.exe
                     %DriveLetter%\HBHP.pif

　　     3、删除病毒生成的以下文件：
                     %DriveLetter%\autorun.inf
                     %DriveLetter%\HBHP.pif
                     %windir%\system32\dkmsskmgrs.dll

　　     4、修复安全模式启动/隐藏文件选项/映像劫持。打开超级巡警，选择工具中的系统修复，选中【修复映像劫持】【修复安全模式启动】【修复隐藏文件和文件夹选项】，点击修复来修复系统。

　　     5、复制%windir%\regedit.exe，运行，删除以下注册表项：
                     HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies
\explorer\run
                     "internetnet"="C:\\windows\\system32\\wuauclt.exe"

　　     6、复制C:\tttmm.tep到%windir%\system32\dllcache\wuauclt.exe和%windir%\system32\wuauclt.exe。

　　     7、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽http://x.cdd6.com。

　　     8、修改系统时间为正确的时间。


三、安全建议

　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、使用超级巡警的补丁检查功能，及时安装系统补丁。  
　　     3、不要轻易打开即时通讯工具中发来的链接或可执行文件。
　　     4、不要随意下载不安全网站的文件并运行。
　　     5、下载和新拷贝的文件要首先进行查毒。
　　     6、及时更新常用软件，尤其是聊天工具。
　　     7、做好系统和重要数据的备份，以便能够进行系统和数据恢复。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%System，
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它：
              %SystemDrive%                                                             系统安装的磁盘分区
              %SystemRoot% = %Windir% WINDODWS                     系统目录
              %ProgramFiles%　                                                         应用程序默认安装目录
              %AppData%                                                                   应用程序数据目录
              %CommonProgramFiles%                                              公用文件目录
              %HomePath%                                                                当前活动用户目录
              %Temp% =%Tmp%                                                        当前活动用户临时目录
              %DriveLetter%                                                               逻辑驱动器分区
              %HomeDrive%                                                               当前用户系统所在分区