危险等级：★★★
病毒名称：Trojan.Win32.Autorun.ytk
截获时间：2007-10-17
入库版本：19.45.31
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

全球化传播态势：低

破坏力：低

清除难度：中

破坏手段：消息挂钩，通过可移动设备传播

该程序运行后执行如下操作：

    1.获取系统目录，判断是否存在%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.bak和NewTemp.DLL,若存在则删除该文件;

    2. 拷贝自身到%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.bak,并设置文件属性为HIDDEN和SYSTEM实现文件隐藏;

    3.查找自身资源DATAINFO并释放到%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.DLL;

    4. 判断系统版本，若系统为非NT系统，则创建wininit.ini实现自启动;

    5. 查找窗口类为ListBox、窗口名为1616116或1818118的窗口，若失败则创建一个窗口类为ListBox、窗口名为1818118的窗口来接收消息，若找到则退出，防止实例重复运行;

    6. 加载%SysRoot%\Program Files\Internet Explorer\PLUGINS\NewTemp.DLL，获取导出函数MsgHookOn并调用，之后进入消息循环，接收系统消息；

    7. 消息循环退出时调用导出函数MsgHookOff设置消息钩子，监视新添加的设备；之后设置如下注册表项实现自启动:
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
 {0EA66AD2-CF26-2E23-532B-B292E22F3266}
 
 HKLM\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266}
 InProcServer32
 Apartment
 ThreadingModel
 
    释放的动态库加载时执行如下操作：

    1.获取模块名，打开文件本身，在文件末尾读取四字节，与0x35526133异或，取负，然后根据这个偏移量读取文末尾的数据;

    2.查找窗口类为ListBox、窗口名为1616116的窗口，若找到则退出，以此来防止程序重复运行;

    3.创建线程，执行如下操作：

    创建一窗口类为ListBox、窗口名为1616116的窗口接受系统消息，设置该窗口的窗口回调函数，在回调函数中判断消息类型：

    若为WM_DEVICECHANGE，则拷贝自身到新添加设备根目录下并命名为PegeFile.PIF，之后在设备根目录下创建autorun.inf,写入如下内容，实现传播：
   [autorun]
   open=PegeFile.pif
   shellexecute=PegeFile.pif
   shell\Auto\command=PegeFile.pif
   shell=Auto

    若为WM_DESTROY，则销毁该窗口；否则，调用默认的消息处理函数。

    查找窗口类为ListBox，窗口名为1818118的窗口,并向该窗口发送WM_QUIT消息，关闭该窗口;

    设置定时器，每隔1秒执行如下操作：
  a.查旬注册表项HKLM\Software\SetVer\ver下的键值，判断指定程序是否已下载;
  b.若键值未设置，则尝试从网络上下载指定程序到临时目录并执行;
  c.若成功下载执行则设置注册表HKLM\Software\SetVer\ver下的键值，标记已下载;

    进入消息循环，接受系统消息.导出函数MsgHookOn设置系统消息钩子，用来获取添加设备的通知消息;导出函数MsgHookOff卸载加载模块的窗口消息钩子;

安全建议：

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

    3 不浏览不良网站，不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

    瑞星杀毒软件清除办法：

    安装瑞星杀毒软件，升级到19.45.31版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

（责任编辑：hahack）