【警惕】一个损毁DOC、RTF文件的蠕虫
木马主体文件:SVCHOST.EXE(图1)。瑞星今天的病毒库尚不能查杀这个木马。
运行后,木马试图在C:\WINDOWS\下释放autorun.inf和SVCHOST.EXE。其它分区根目录下可能也有autorun.inf和SVCHOST.EXE释放。但我的D盘有TPF2005的“文件保护”(禁止在任何目录下创建、写入、删除文件),未能观察到这两个文件的释放。
在注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKCU\Software\Microsoft\Windows\CurrentVersion\Run两个分支分别添加启动项ip和io。
然后,全盘搜索DOC、RTF文件,找到后即删除之,并创建一个同名的.exe文件(48K)。在搜索到的每个 文件夹中创建一个木马主体文件SVCHOST.EXE
我的C、D两个硬盘分区有TPF2005的文件保护,未受影响。
U盘的所有DOC文件全部遭其毒手(图2)。好在我的TPF2005有Track'nReverse功能,U盘文件得以全部复原。
注:此马还有一个特点——再次感染系统时自动停止运行。
图1
