Win32.Troj.Delf.vb.49152

  病毒名称(中文):
  狼外婆账本49152
  病毒别名:
  
  
  威胁级别:
  ★☆☆☆☆
  病毒类型:
  网页病毒
  病毒长度:
  417903
  影响系统:
  Win9xWinMeWinNTWin2000WinXPWin2003
  
  病毒行为:
  这是一个VB编写的U盘病毒变种。病毒伪装成EXCEL表格文件,诱使用户点击。病毒执行后,会释放autorun病毒至硬盘根目录,修改注册表以开机自启动,病毒修改注册表使Windows的显示隐藏文件选项被禁用。由于病毒是通过U盘传播的,所以中招之后在每个硬盘盘符的右键菜单下会出现Auto,双击打开就默认为Auto。
  另外,用户计算机中了这个病毒以后,使用用友财务软件就会出现错误,它并不会造成用友软件崩溃,而是会造成用友财务软件统计帐目时出现“借贷不平衡”的问题。
  (1)生成文件
  {盘符}\fun.xls.exe
  {盘符}\AUTORUN.INF
  %sys32dir%\rundll.exe
  %sys32dir%\msime82.exe
  %sys32dir%\msfun80.exe
  %sys32dir%\algsrvs.exe
  (2)生成注册表启动项
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunMsServer"msfun80.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunMicrosoftService"Rundll.exe"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunIMJPMIG8.2"msime82.exe"
  (3)修改注册表以隐藏文件
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValuedword:00000001"0"
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedHideFileExtdword:00000000dword:00000001
  (4)病毒伪装成EXCEL表格文件,诱使用户点击
  (5)Windows的显示隐藏文件选项被禁用
  (6)病毒还会操作一些数据库:
  创建一个SQL的连接
  IntegratedSecurity=SSPI;PersistSecurityInfo=False;DataSource=.;InitialCatalog=ufsystem
  对每个cAcc_Id进行查询
  selectcAcc_Idfromua_accountorderbycAcc_id
  selectiyearfromua_periodwherecAcc_id='
  ...
  据称,用户计算机中了这个病毒以后,使用用友财务软件就会出现错误,它并不会造成用友软件崩溃,而是会造成用友财务软件统计帐目时出现“借贷不平衡”的问题