原帖：http://www.cisrt.org/bbs/viewthread.php?tid=676&extra=page%3D1
作者：海色の月
【CISRT2007016】蠕虫病毒 urdvxc.exe 解决方案
档案编号：CISRT2007016
病毒名称：Net-Worm.Win32.Allaple.b（Kaspersky）
病毒别名：Win32.Troj.Henkan.a.57856（毒霸）
　　　　　 Worm.Mail.Allaple.b（瑞星）
病毒大小：57,856 字节
加壳方式：N/A
样本MD5：N/A（变形病毒）
样本SHA1：N/A（变形病毒）
发现时间：2006.12
更新时间：2006.12
关联病毒：
传播方式：可通过弱密码的共享网络，系统漏洞等途径传播
技术分析
==========
这是一个自变形蠕虫病毒，在被感染系统中生成若干病毒副本，可通过系统弱口令系统漏洞等途径传播，发送DoS攻击。
蠕虫感染系统后在系统目录生成文件：
%System%\urdvxc.exe
创建以下服务：
QUOTE:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
显示名：Network Windows Service
描述：Network Windows service management
可执行文件的路径："%System%\urdvxc.exe" /service
失败时执行命令：%System%\urdvxc.exe
此服务第一次启动失败时会尝试重新启动服务，第二次启动失败时则运行%System%\urdvxc.exe。
病毒会向系统部分目录（含有htm/html文件的目录）生成自身的若干新副本，文件名随机，如：
bzehxvnz.exe
hwexrtne.exe
jbnshhqj.exe
由于病毒自我变形，虽然文件大小都是57856字节，但每个副本都不一样。
病毒给每一个副本都注册不同的CLSID，如：
[Copy to clipboard]CODE:[HKEY_CLASSES_ROOT\CLSID\{8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE}\InprocServer32]
@="bzehxvnz.exe"
修改目录中的htm/html文件，在<html>标签后插入类似如下代码：
[Copy to clipboard]CODE:<OBJECT type="application/x-oleobject"CLASSID="CLSID:8BF6F24D-2C3C-D83A-E9AE-EC1C4F01DAEE"></OBJECT>
每个htm/html页面中的CLSID不同，分别对应病毒副本的CLSID，即当用户打开该htm/html文件时，对应CLSID的病毒副本将被运行。
此外，病毒会尝试通过系统漏洞和系统弱口令传播给其它计算机，还能发起DoS攻击。
清除步骤
==========
1. 删除病毒服务：
[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSWindows]
2. 重新启动计算机
3. 删除文件：
%System%\urdvxc.exe
4. 全盘搜索大小约58K左右的文件名随机的exe文件，删除它们
5. 注册表中病毒添加的CLSID和htm/html页面中被添加的代码清除起来有些困难，经过测试发现Kaspersky（卡巴斯基）可以清除htm/html页面中病毒插入的<object>代码

中了变种.复制能力十分夸张,复制并安插了12000多.exe文件..每个文件100KB以下.
悲剧了.

厉害

怎么中的？

上次中了个U盘病毒。WEIAI。EXE把我头都搞晕。。

我现在用KIS2010，太耗CPU了，哪个版本好用啊？6.0？7.0？8.0？

我一直用360+NOD32.

嗯

NOD32怎么注册？呵呵
猪。

天天都在忙什么？见不到人。。

现在360不送了，，已经结束了。汗。。

- -我连360都不怎么用.一直是清理临时文件了事.也几乎没中过毒啥的(也许自己不知道-3-)