写在前面
pluto1313昨晚给个样本 引起了我的兴趣
继围巾\熊猫之后 又是个感染型的蠕虫
而且这图标到让我想起熊猫的作者 舞男 所以 叫他舞男头吧 虽然这大概不是他的作品

感叹一下2007年是 感染型的天下了....

好久没写东西了 写的不是很好 请大家多指点...

病毒行为
样本感染系统程序的exe和src程序

病毒运行后
1.拷贝自身到
C:\Program Files\Internet Explorer\icwtutor.com

2:添加注册表自启动
病毒会添加自启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Internet Explorer Server--->C:\Program Files\Internet Explorer\icwtutor.com

3.通过局域网传播到共享
\c$\win.exe
\c$\autoexec.bat
c$(共享的c盘)

4.感染过程中
在每个感染的文件夹内先生成一个12.exe
感染完毕后删除12.exe

5.感染从最后一个盘符开始感染,感染后的状态如图




处理方法:
重启进入安全模式
删除
添加的启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Internet Explorer Server--->C:\Program Files\Internet Explorer\icwtutor.com
和
文件C:\Program Files\Internet Explorer\icwtutor.com

将杀软升级到最新版本,全盘扫描查杀
或者用16位编辑器将头部感染的文件删除和尾部的4个字节删除


防护建议:
1. 建议通过Windows Update或的漏洞扫描工具安装好系统补丁程序
2. 给系统管理员帐户设置足够复杂的管理员密码，最好是10位以上，字母+数字+其它符号
3. 安装使用网络防火墙软件，可以有效地阻挡病毒的入侵。
4. 关闭没有必要的共享目录