“VB邮件蠕虫变种CC”病毒技术细节

不懂破解

这是一个VB编写的Worm病毒，采用nspack程序进行保护。病毒文件伪装成Kingsoft AntiVirus软件，试图欺骗用户去点击运行。该病毒是集点击网站，下载病毒，利用邮件和优盘传播为一身多功能病毒。
    1.病毒运行后首先会去查找c盘根目录下是否存在KAV32.exe,如果不存在将自身复制到该路径下。

    2.病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身KAV.exe和autorun.inf.其中autorun.inf的内容为: [AutoRun]open="KAV32.exe"

    3.查找OUTLook邮箱中的好友列表，然后把指定的网址http://ken23409.3322.org/index.htm发送给对方。

    4.添加修改以下注册表项：

    (1)  HKEY_CLASSES_ROOT\.reg
(默认) = TXTFILE  （txtfile为默认的.txt文件打开、编辑方式，修改后将.reg文件当成.txt来处理）。

    (2)  HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system
"disableregistrytools" = 0X00000001 （禁用注册表编辑器）

    (3)  HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\winoldapp
"disabled" = 0X00000001 （禁止在Windows下使用MS-DOS方式及其它DOS程序）

    (4)  HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer
"nosetfolders" = 0X00000001 （从开始菜单隐藏控制面板、打印机/网络连接）

    (5)  HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\restrictions
"nobrowseroptions" = 0X00000001（禁用IE的“Internet选项”及其对话框中所有属性设置）

    (6)  HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control panel
"homepage" = 0X00000001 （修改IE主页属性使按钮失效，用户无法更改"主页"栏）

    (7)  HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control panel
"securitytab" = 0X00000001 （禁止使用IE“Internet选项”中的“安全”菜单）

    (8)    HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\control panel
"resetwebsettings" = 0X00000001 （隐藏网络标识）

    (9)  HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main
"start page" = HTTP://KEN23409.3322.ORG （修改IE主页为：HTTP://KEN23409.3322.ORG）

    (10)  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Kav32" = C:\KAV32.EXE （达到开机自启动目的）

    5.从http://ken23409.3322.org:8081/muma.exe网站下载病毒文件到系统文件夹，命名为:i.exe，并运行该病毒。（由于该网站下载连接已失效无法确认下载的是何种类型的病毒）。

    6.查找以下反病毒软件窗口，找到后结束其进程：

    (1).江民杀毒软件KV2007

    (2).金山毒霸2007

    (3). 瑞星杀毒软件2007

    (4).卡巴斯基反病毒软件 6.0

安全建议：

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

    3 不浏览不良网站，不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

    瑞星杀毒软件清除办法：

    安装瑞星杀毒软件，升级到19.44.32版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀

不懂破解

病毒运行后首先会去查找c盘根目录下是否存在KAV32.exe,如果不存在将自身复制到该路径下。

针对这个我们当务之急是做什么呢？
我认为在Ｃ盘目录下建立个KAV32.exe文件是个比较不错的办法．