欢迎进入反病毒社区论坛，与技术人员互动交流进入

超级巡警团队监测到恶意程序Worm.Win32.AutoRun.rwg正在传播。病毒通过在磁盘根目录下创建autorun.inf达到自我传播的目的，下载并运行多种病毒及盗号木马盗取用户的游戏账号等。病毒还会使用映像劫持等手法破坏安全软件，并阻止用户打开杀毒网站等手法来阻止用户杀毒。超级巡警团队提醒广大用户及时更新病毒库，对该程序进行有效查杀。
 
一、病毒相关分析

        　 病毒标签：
        　 病毒名称：Worm.Win32.AutoRun.rwg
        　 病毒别名：AutoRun变种
        　 病毒类型：蠕虫类
        　 危害级别：2
        　 感染平台：Windows
        　 病毒大小：24,576 Byte
        　 S H A 1  ：efef9dc6ae4169c51ddf9829bcf5ed178f15b12a
        　 加壳类型：ASPack 2.12 -> Alexey Solodovnikov
        　 开发工具：Microsoft Visual C/C++
 
      病毒行为：

　　     1、在各个磁盘根目录下创建autorun.inf和HBHP.pif文件，达到双击磁盘时自动运行病毒，及移动存储设备传播的目的。
 
　　     2、复制系统文件wuauclt.exe到C:\tttmm.tep，破坏windows文件保护后。用病毒文件覆盖%windir%\system32\dllcache\wuauclt.exe和%windir%\system32\wuauclt.exe。
 
　　     3、添加如下注册表启动项，达到随explorer启动而启动的目的。
                     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
\explorer\run
                     "internetnet"="C:\\windows\\system32\\wuauclt.exe"

　　     4、修改系统时间为2004年，禁用卡巴斯基并阻止杀软更新。

　　     5、修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为00000000，使隐藏文件无法显示。

　　     6、删除以下注册表项，破坏安全模式，导致无法启动系统到安全模式来杀毒。
                     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal \{4D36E967-E325-11CE-BFC1- 08002BE10318}，                                            
                     HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\network \{4D36E967-E325-11CE-BFC1-08002BE10318}。

　　     7、删除以下文件：
                     %windir%\system32\mfc71.dll
                     %ProgramFiles\Kingsoft\Kingsoft Internet Security 2008\kasbrowsershield.dll

　　     8、结束进程safeboxTray.exe。

　　     9、映像劫持以下文件，导致相应安全软件无法运行：
                     Ast.exe、360rpt.exe、360safe.exe、360tray.exe、360safebox.exe、AVP.exe、 AvMonitor.exe、CCenter.exe、 IceSword.exe、Iparmor.exe、KVMonxp.kxp、KVSrvXP.exe、KVWSC.exe、Navapsvc.exe、 Nod32kui.exe、nod32krn.exe、KRegEx.exe、Frameworkservice.exe、Mmsk.exe、 WOPTILITIES.exe、Regedit.exe、AutoRunKiller.exe、 VPC32.exe、VPTRAY.exe、ANTIARP.exe、KASARP.exe、RAV.exe、kwatch.exe、 kmailmon.exe、kavstart.exe、KAVPFW.exe、Runiep.exe、GuardField.exe、 GFUpd.exe、rfwmain.exe、RavStub.exe、rfwstub.exe、rfwProxy.exe、rfwsrv.exe、 msconfig.exe、SREngLdr.exe、ArSwp.exe、RSTray.exe、QQDoctor.exe、 TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、PFW.exe、HijackThis.exe、 AutoRun.exe、KPfwsvc.exe、kissvc.exe、kav32.exe。

　　     10、关掉黑名单中的杀毒软件进程，使当前系统失去保护。

　　     11、病毒通过驱动突破杀毒软件主动防御，使杀毒软件无法运行。

　　     12、运行一个僵尸IE进程，复制病毒代码到僵尸IE进程，并创建远程线程执行病毒代码。

　　     13、设置以下文件访问权限为everyone完全控制。
                     c:\windows\system32\pthreadvc.dll
                     c:\windows\system32\wpcap.dll
                     c:\windows\system32\drivers\npf.sys
                     c:\windows\system32\npptools.dll
                     c:\windows\system32\drivers\acpidisk.sys
                     c:\windows\system32\wanpacket.dll
                     c:\documents and settings\all users\「开始」菜单\程序\启动

　　     14、复制urlmon.dll为dkmsskmgrs.dll，动态加载，获取URLDownloadToFileA函数地址后下载并运行以下病毒文件：
                     hxxp://x.cdd6.com/**/x.gif
                     hxxp://x.cdd6.com/**/1.exe
                     hxxp://x.cdd6.com/**/2.exe
                     hxxp://x.cdd6.com/**/3.exe             
                     hxxp://x.cdd6.com/**/4.exe 
                     hxxp://x.cdd6.com/**/5.exe 
                     hxxp://x.cdd6.com/**/6.exe 
                     hxxp://x.cdd6.com/**/7.exe
                     hxxp://x.cdd6.com/**/8.exe 
                     hxxp://x.cdd6.com/**/9.exe 
                     hxxp://x.cdd6.com/**/10.exe