病毒名称：Net-Worm.Win32.Allaple.b（Kaspersky）
病毒别名：Win32.Troj.Henkan.a.57856（毒霸）
　　　　　 Worm.Mail.Allaple.b（瑞星）
病毒大小：57,856 字节
加壳方式：N/A
样本MD5：N/A（变形病毒）
样本SHA1：N/A（变形病毒）
发现时间：2006.12
更新时间：2006.12
关联病毒：
传播方式：可通过弱密码的共享网络，系统漏洞等途径传播

技术分析
==========

这是一个自变形蠕虫病毒，在被感染系统中生成若干病毒副本，可通过系统弱口令系统漏洞等途径传播，发送DoS攻击。

蠕虫感染系统后在系统目录生成文件：
%System%\urdvxc.exe

创建以下服务：

QUOTE:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
显示名：Network Windows Service
描述：Network Windows service management
可执行文件的路径："%System%\urdvxc.exe" /service
失败时执行命令：%System%\urdvxc.exe
此服务第一次启动失败时会尝试重新启动服务，第二次启动失败时则运行%System%\urdvxc.exe。

病毒会向系统部分目录（含有htm/html文件的目录）生成自身的若干新副本，文件名随机，如：
bzehxvnz.exe
hwexrtne.exe
jbnshhqj.exe
由于病毒自我变形，虽然文件大小都是57856字节，但每个副本都不一样。

病毒给每一个副本都注册不同的CLSID，如：

[Copy to clipboard]CODE:[HKEY_CLASSES_ROOT\CLSID\{8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE}\InprocServer32]
@="bzehxvnz.exe"
修改目录中的htm/html文件，在<html>标签后插入类似如下代码：

[Copy to clipboard]CODE:<OBJECT type="application/x-oleobject"CLASSID="CLSID:8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE"></OBJECT>
每个htm/html页面中的CLSID不同，分别对应病毒副本的CLSID，即当用户打开该htm/html文件时，对应CLSID的病毒副本将被运行。

此外，病毒会尝试通过系统漏洞和系统弱口令传播给其它计算机，还能发起DoS攻击。

清除步骤
==========

1. 删除病毒服务：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
2. 重新启动计算机

3. 删除文件：
%System%\urdvxc.exe

4. 全盘搜索大小约58K左右的文件名随机的exe文件，删除它们

5. 注册表中病毒添加的CLSID和htm/html页面中被添加的代码清除起来有些困难，经过测试发现Kaspersky（卡巴斯基）可以清除htm/html页面中病毒插入的<object>代码