病毒名称： Worm.Win32.AutoRun.bbk
病毒类型： 蠕虫类
文件 MD5： C2CB71E79EE10B0FD2B27A25E39F408C
公开范围： 完全公开
危害等级： 高
文件长度： 18,988字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： 未知壳

　　该病毒属蠕虫类。病毒运行后。复制自身到%System32%下，并衍生autorun.inf
文件；复制自身到各个驱动器根目录下，衍生autorun.inf文件，以达到双击打开盘符
自动执行病毒文件的目的；修改注册表，隐藏具有隐藏属性的文件，创建服务；连接网
络下载病毒文件，其中大部分为盗号木马，下载后自动运行。

本地行为：

1、文件运行后会释放以下文件：

　　　　%DriveLetter%\auto.exe 　　　　18,988字节
　　　　%DriveLetter%\autorun.inf 　　 78字节
　　　　%System%\897C210C.DLL 　　　　 49,152字节
　　　　%System%\DD066EE0.EXE 　　　　 18,988字节
　　
2、新增注册表：

　　　　添加以下服务：
　　　　HKEY_USERS\.DEFAULT\SYSTEM
　　　　\CurrentControlSet\Services\3069CAA4
　　　　HKEY_USERS\S-1-5-18\SYSTEM
　　　　\CurrentControlSet\Services\3069CAA4
　　　　HKEY_CURRENT_USER\SYSTEM
　　　　\CurrentControlSet\Services\3069CAA4
　　　　HKEY_LOCAL_MACHINE\SYSTEM
　　　　\ControlSet001\Services\3069CAA4
　　　　HKEY_LOCAL_MACHINE\SYSTEM
　　　　\CurrentControlSet\Services\3069CAA4

3、修改注册表：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE
　　　　\Microsoft\Windows\CurrentVersion
　　　　\Explorer\Advanced\Folder\Hidden\SHOWALL
　　　　注册表值："CheckedValue"
　　　　原键值：01, 00, 00, 00
　　　　新建键值：00, 00, 00, 00
　　　　描述：使系统不显示具有隐藏属性的文件

　　　　HKEY_LOCAL_MACHINE\SOFTWARE
　　　　\Microsoft\PCHealth\ErrorReporting
　　　　注册表值："DoReport"
　　　　原键值：01, 00, 00, 00
　　　　新建键值：00, 00, 00, 00
　　　　描述：关闭错误报告

4、删除注册表键值：
　　　　
　　　　HKEY_LOCAL_MACHINE\SYSTEM
　　　　\ControlSet001\Services\ERSvc
　　　　描述：删除ERSvc服务，关闭错误报告
　　　　
网络行为:

1、连接网络下载病毒文件：

　　　　连接网络：
　　　　nx.51***.cn(222.73.***.***)
　　　　123.www***.cn(211.152.***.***)
　　　　
下载病毒文件并自动运行：

　　　　%Temporary Internet Files%
　　　　\e47e57844ef30ab4[1].exe
　　　　病毒名：Worm.Win32.AutoRun.bpc

　　　　%Temporary Internet Files%\tl0619[1].exe
　　　　病毒名：Trojan.Win32.Vaklik.ei

　　　　%Temporary Internet Files%\wow0617[1].exe
　　　　病毒名：Trojan-PSW.Win32.OnLineGames.ono

　　　　%Temporary Internet Files%\cq0619[1].exe
　　　　病毒名：Trojan-PSW.Win32.Lmir.bpv

　　　　%Temporary Internet Files%\wl0618[1].exe
　　　　病毒名：Trojan-PSW.Win32.OnLineGames.onq

　　　　%Temporary Internet Files%\cs0619[1].exe
　　　　病毒名：Trojan-PSW.Win32.OnLineGames.hfr

　　　　%Temporary Internet Files%\qqhx[1].exe
　　　　病毒名：Trojan.Win32.Vaklik.ff

　　　　%Temporary Internet Files%\huaxia[1].exe
　　　　病毒名：Trojan-PSW.Win32.OnLineGames.oel

　　　　%Temporary Internet Files%\zy[1].exe
　　　　病毒名：Trojan.Win32.Vaklik.dy

　　　　%Temporary Internet Files%\fh[1].exe
　　　　病毒名：Trojan-PSW.Win32.OnLineGames.odi

　　　　%Temporary Internet Files%\qqsg[1].exe
　　　　病毒名：Trojan-PSW.Win32.OnLineGames.obn

　　　　%Temporary Internet Files%\mh0618[1].exe
　　　　病毒名：Trojan.Win32.Vaklik.gl

　　　　%Temporary Internet Files%\wd0618[1].exe
　　　　病毒名：Trojan-PSW.Win32.OnLineGames.olh

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　 　　　　　　　　

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载：www.antiy.com 。　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 　
　 　 (1)使用Atool“进程管理”关闭病毒进程。
　 　 (2)删除病毒文件：
　 　 　%DriveLetter%\auto.exe
　 　 　%DriveLetter%\autorun.inf
　 　 　%System%\897C210C.DLL
　 　 　%System%\DD066EE0.EXE
　 　 　%Windir%\explorer.exe
　 　 (3)删除病毒添加的注册表：
　 　 　 HKEY_USERS\.DEFAULT\SYSTEM
　 　 　 \CurrentControlSet\Services\3069CAA4
　 　 　 HKEY_USERS\S-1-5-18\SYSTEM
　 　 　 \CurrentControlSet\Services\3069CAA4
　 　 　 HKEY_CURRENT_USER\SYSTEM
　 　 　 \CurrentControlSet\Services\3069CAA4
　 　 　 HKEY_LOCAL_MACHINE\SYSTEM
　 　 　 \ControlSet001\Services\3069CAA4
　 　 　 HKEY_LOCAL_MACHINE\SYSTEM
　 　 　 \CurrentControlSet\Services\3069CAA4 　

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net