Worm.VB.hk.190948

  病毒名称(中文):
  AUTO蠕虫190948
  病毒别名:
  
  
  威胁级别:
  ★★☆☆☆
  病毒类型:
  蠕虫病毒
  病毒长度:
  190948
  影响系统:
  Win9xWinMeWinNTWin2000WinXPWin2003
  
  病毒行为:
  这是一个蠕虫病毒,通过autorun.inf传播。该病毒监视用户机器的网络数据。
  一、生成文件
  1.C:\WINDOWS\system32\mswinsck.ocx--windows系统本身也有这个文件,但病毒将其换成了自己需要的版本,并注册它
  2.C:\WINDOWS\system32\odbcasvc.exe--这个是病毒文件的拷贝
  3.C:\WINDOWS\Temp\123897.exe--这个是病毒文件的拷贝
  4.C:\DocumentsandSettings\Administrator\LocalSettings\Temp\123897.exe--这个是病毒文件的拷贝
  5.C:\WINDOWS\uha.exe--这是一个压缩程序
  6.在没个磁盘分区的根目录下生成autorun.inf,Recycled\INFO.EXE两个文件
  这个病毒把病毒文件放在Recycled下面是和其他autorun病毒不同的地方
  二、修改注册表
  1.添加服务
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\odbcasvc]
  "Type"=dword:00000010
  "Start"=dword:00000002--自动运行
  "ErrorControl"=dword:00000001
  "ImagePath"="C:\WINDOWS\SYSTEM32\odbcasvc.EXE"
  "DisplayName"="ODBCAdministrationService"
  "ObjectName"="LocalSystem"
  "Description"="MicrosoftDataAccess-ODBCAdministrationService"
  2.修改注册表,打开磁盘自动播放
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerNoDriveTypeAutoRun
  三、监视用户机器的网络数据,并用uha将这些信息压缩,然后发送到病毒作者的邮箱里面。