病毒名称

Worm.Win32.AutoRun.fo


病毒症状

　　该病毒是一个使用Delphi编写的蠕虫程序，长度为21,504字节，图标为常规可执行文件图标，病毒扩展名为exe，主要传播方式为局域网传播和可移动存储。

病毒分析

　　该蠕虫程序激活后，添加注册表启动项，使其随系统自动启动；通过修改注册表项来隐藏病毒文件；执行命令行关闭诺顿反病毒自动保护服务、mcshield、ICS、系统恢复服务；遍历窗口查找多种杀毒软件窗口并将其强行关闭；强行结束多种杀毒软件软件和系统工具进程；修改系统时间，使部分杀毒软件无法正常使用；在后台通过查找注册表获取IE浏览器IEXPLORE.EXE和常见下载工具的路径，利用其突破防火墙封锁，从恶意网站下载多个病毒程序并运行；在各分区和可移动存储介质中释放隐藏属性的病毒文件IO.pif以及autorun.inf，试图利用Windows自动播放功能进行传播硬盘和U盘；查找局域网可用共享，试图通过局域网传播。

AutoRun.inf 文件内容如下：
[AutoRun]
open=IO.pif
shellexecute=IO.pif
shell\\Auto\\command=IO.pif

感染对象

Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003

传播途径

局域网传播、可移动存储

安全提示

　　已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该蠕虫程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；




&& && && && && && && & 图1

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Worm.Win32.AutoRun.gj”，请直接选择删除（如图2）。




& && && && && && && && && && &&&图2

　　使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性，会自动终止某些杀毒软件运行，如果您的杀毒软件已经无法运行，您也可以尝试安装微点解决。

　　没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件有效清除各类未知病毒和新病毒。