遭遇Worm.UsbSpy.a/Worm.Win32.Delf.aj

endurer　原创

2006-09-12 第1版

有一位朋友，他把移动硬盘接到电脑上使用，上午还正常，但下午用时则有数据保护的出错提示信息。

该朋友电脑使用的是Win XP SP2，因未联网，所以不能从网上下载 HijackThis 等软件来分析。

打任务管理器，发现一个名为wincfgs.exe的进程，图标为一个黄色问号，十分可疑，终止了。

打开命令提示符窗口搜索文件：

/------------
C:/Documents and Settings/user>attrib /wincfgs*.* /s
   SHR     C:/Windows/system32/wincfgs.exe
------------/

文件在C:/Windows/system32中，具有系统、隐藏、只读属性，用WinRAR打包备份后删除。

打开注册表编辑器，搜索包含“wincfgs”的项目，发现

/------------
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
"load"="C://windows//system32//wincfgs.exe"
------------/

再检查移动硬盘，在根目录下发现autorun.inf。文件内容如下：

/----------
[autorun]
open=./RECYCLER/RECYCLER/autorun.exeshell/1=Open
shell/1/Command=./RECYCLER/RECYCLER/autorun.exe
shell/2/=Browser
shell/2/Command=./RECYCLER/RECYCLER/autorun.exeshellexecute=./RECYCLER/RECYCLER/autorun.exe
----------/

居然有个文件autorun.exe藏在回收站里。
用fc命令比较，autorun.exe 与 前面发现的wincfgs.exe完全相同。

瑞星报为 Worm.UsbSpy.a。

 STATUS: FINISHED

Complete scanning result of "wincfgs.exe", received in VirusTotal at 09.12.2006, 06:40:13 (CET).

Aditional Information

File size: 47104 bytes

MD5: 07adddef653a702b9a11edbcee07e82b

SHA1: 97729f6df1cd96b61e3e2bc1a841adf1720e2ec5