病毒警报

水木

中国区中度风险病毒警报 - PE_CAOLYWA.D-O(WORM_AUTORUN.BSG)     近期有新病毒流行，病毒名为PE_CAOLYWA.D-O(WORM_AUTORUN.BSG)，请您注意防范。
趋势科技中国在此通知您：
请密切关注PE_CAOLYWA.D-O(WORM_AUTORUN.BSG)病毒！
病毒名称：PE_CAOLYWA.D-O(WORM_AUTORUN.BSG)
传染途径：U盘   
需要的病毒码更新版本：[中国区病毒码升级到5.236.60以上 ；全球区病毒码升级到5.235.00以上]
————————————————————
紧急解救方法：
更新病毒码：
   中国区病毒码更新到5.236.60以上。
   全球区病毒码更新到5.235.00以上。
————————————————————
病毒特性：
通过修改系统时间来禁用AVP
感染spoolsv.exe ，并将系统的spoolsv.exe拷贝到%windows%\tasks\sysfile.brk
将病毒文件拷贝到%windows%\tasks\0x01xx8p.exe
关闭以下进程：avp.exe kvsrvxp.exe kissvc.exe
感染文件被执行时，会将病毒母体释放到%windows%\windows.ext，并运行
病毒会释放一个zzz.sys的驱动，并运行
————————————————————
该病毒的主要文件清单及相关功能：
Msdos.bat (14kb左右
%windows%\tasks\0x01xx8p.exe
%windows%\windows.ext
从网上下载配置文件，保存为%system%/windows.txt,并根据配置文件，可能实现以下功能：
在根目录创建autorun.inf ，启动msdos.bat
感染以下扩展名的网页文件：.do .htm .html .shtm .shtml .asp .aspx .php .jsp .cgi .xml,插入的代码在配置文件中确定
删除.gho扩展名的文件
感染除windows目录，系统盘 program files目录外，其他目录下所有扩展名为 .exe .bat .cmd .com .scr的PE文件
访问配置文件中指定的网页
通过网络请求，将计算机名发送到配置文件中指定的网址

兴琚

改时间病毒比较好玩