查杀U盘蠕虫bittorrent.exe的办法

　　U盘蠕虫bittorrent.exe是一个有重大破坏力的蠕虫病毒，一些国外著名的杀毒软件在它面前也都无能为力，比如迈克菲和NOD32，好在卡巴斯基能干掉它。今天我们来深入分析一下这个病毒，并探讨如何查杀它。

　　病毒名称：Worm.CJump.c.3515723(Kingsoft2006)；Worm.snake.a (Rising2006)

　　从同学的U盘上获得的样本，来自学校打印店的“加料”。是继reper.exe, revmonE.exe,rose.exe之后又一新的变种病毒，不过病毒手法并不怎么高明。

　　病毒大小：3.35M-3515730字节

　　中毒症状：

　　双击U盘无法打开，右键打开出现auto,自动播放等选项。

　　具体病毒行为：染毒电脑 会生成C:\windows\bittorrent.exe， 为隐藏的系统属性

　　同时还生成一个ravmonlog文件 用记事本打开后为15969

　　进程中出现bittorrent.exe

　　修改注册表：

　　添加自启动项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"Bittorrent"="C:\\windows\\bittorrent.exe"

　　添加项目打开系统TCP端口15969

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

　　"15969:TCP"="15969:TCP:*:Enabled:NortonAV"

　　访问网络：访问广州天河区一ADSL的IP

　　当U盘插入电脑时，病毒进程自动监测，并在U盘中生成以下文件：

　　病毒源体：bittorrent.exe

　　日志文件：bittorrent.exe.log

　　C语言动态链接库：msvcr71.dll

　　inf文件：AUTORUN.INF

　　内容为：

　　[AutoRun]

　　open=bittorrent.exe e

　　shellexecute=bittorrent.exe e

　　shell\Auto\command=bittorrent.exe e

　　shell=Auto

　　这样双击U盘会自动运行病毒。感染另一台电脑。

　　清除方法：

　　1.结束进程：bittorrent.exe

　　2.清除病毒文件：C:\\windows\\bittorrent.exe 注意以文件为隐藏系统属性，要设置为显示所有文件才可看到。

　　同一文件夹下 ravmonlog文件(此文件非病毒)

　　恢复注册表：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　删除

　　"Bittorrent"="C:\\windows\\bittorrent.exe"

　　将GloballyOpenPorts整支键删除

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

　　"15969:TCP"="15969:TCP:*:Enabled:NortonAV"

　　关于U盘的查杀：

　　请不要在未清除病毒前双击U盘，否则会重复感染

　　清除方法：用右键打开，进入U盘同样要设置为显示所有文件。将bittorrent.exe，bittorrent.exe.log(非病毒，

　　msvcr71.dll(非病毒)，AUTORUN.INF全部删除。之后将U盘内的文档拷贝到电脑上，对U盘进行格式化。之后复圆文件即可。

　　还需要提醒更为用户一句，要先确保自己的电脑室无毒的，这样才能有效清除U盘上的病毒。掌握这些病毒的原理分析，以后我们对付病毒就更加游刃有余了。