Win32.Troj.Delf.vb.49152

  病毒名稱(中文):
  狼外婆賬本49152
  病毒別名:
  
  
  威脅級別:
  ★☆☆☆☆
  病毒類型:
  網頁病毒
  病毒長度:
  417903
  影響系統:
  Win9xWinMeWinNTWin2000WinXPWin2003
  
  病毒行爲:
  這是一個VB編寫的U盤病毒變種。病毒僞裝成EXCEL表格文件,誘使用戶點擊。病毒執行後,會釋放autorun病毒至硬盤根目錄,修改注冊表以開機自啓動,病毒修改注冊表使Windows的顯示隱藏文件選項被禁用。由于病毒是通過U盤傳播的,所以中招之後在每個硬盤盤符的右鍵菜單下會出現Auto,雙擊打開就默認爲Auto。
  另外,用戶計算機中了這個病毒以後,使用用友財務軟件就會出現錯誤,它並不會造成用友軟件崩潰,而是會造成用友財務軟件統計帳目時出現「借貸不平衡」的問題。
  (1)生成文件
  {盤符}\fun.xls.exe
  {盤符}\AUTORUN.INF
  %sys32dir%\rundll.exe
  %sys32dir%\msime82.exe
  %sys32dir%\msfun80.exe
  %sys32dir%\algsrvs.exe
  (2)生成注冊表啓動項
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunMsServer"msfun80.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunMicrosoftService"Rundll.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunIMJPMIG8.2"msime82.exe"
  (3)修改注冊表以隱藏文件
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValuedword:00000001"0"
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedHideFileExtdword:00000000dword:00000001
  (4)病毒僞裝成EXCEL表格文件,誘使用戶點擊
  (5)Windows的顯示隱藏文件選項被禁用
  (6)病毒還會操作一些數據庫:
  創建一個SQL的連接
  IntegratedSecurity=SSPI;PersistSecurityInfo=False;DataSource=.;InitialCatalog=ufsystem
  對每個cAcc_Id進行查詢
  selectcAcc_Idfromua_accountorderbycAcc_id
  selectiyearfromua_periodwherecAcc_id='
  ...
  據稱,用戶計算機中了這個病毒以後,使用用友財務軟件就會出現錯誤,它並不會造成用友軟件崩潰,而是會造成用友財務軟件統計帳目時出現「借貸不平衡」的問題