Excel 文件对 Dutan 蠕虫过敏
Dutan.A 蠕虫主要试图破坏用 Excel 电子表格创建的文件。
Dutan.A 蠕虫最常通过网络驱动器或可移动存储设备传输到选定的计算机。 然后它创建一些文件并修改注册数据库。 该蠕虫将两个文件复制到每个可用的网络和可移动驱动器。 这些由包含恶意软件的一个通信,而另一个确保在重新连接存储设备时可以自动加载蠕虫。
Dutan.A 会扫描受感染 PC 上所有可用的 .xls 文件,并向其附加 2 KB 随机字符串。 这会使 Excel 文件无法使用。
当 Dutan.A 蠕虫启动时,它会执行以下操作:
- 创建以下文件:
%系统%\winxpsp2.dll
%系统%\csrsss.exe
%系统%\svchosts.exe - 将以下两个文件复制到每个网络和可移动驱动器的根目录:
svchosts.exe
AUTORUN.INF - 以下条目将添加到注册数据库中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
“Microsoft OfficeTool”=“svchosts.exe”
HKEY_CURRENT_USER \软件\微软\的Windows \ CurrentVersion \ Explorer中
\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}”BaseClass”
=“开车”
HKEY_CURRENT_USER \软件\微软\的Windows \ CurrentVersion \ Explorer中
\MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}”BaseClass”
=“开车”
4. 搜索具有 .xls 扩展名的文件,向其中添加 2 KB 随机组合的字符串。