修改时间为1980年的病毒

【CISRT2007024】可通过U盘传播、调日期到1980年的随机字母文件名病毒解决方案

档案编号：CISRT2007024
病毒名称：Worm.Win32.Agent.t（Kaspersky）
病毒别名：Worm.Troj.Agent.t.51200（毒霸）
　　　　　 Worm.Skla.a（瑞星）
病毒大小：51,200 字节
加壳方式：PE_Patch.PECompact PecBundle PECompact
样本MD5：31be55fe725959235f6f031834640a06
样本SHA1：69b6a642c89e3f5c6d4e76328aca4b6a5266661a
发现时间：2007.1
更新时间：2007.1
关联病毒：
传播方式：恶意网页、其它病毒下载，可通过U盘移动硬盘等移动存储设备传播

技术分析
==========

这个病毒会在每个分区下释放病毒副本，文件名随机，通过autorun.inf利用系统“

自动播放”功能运行，此外，病毒还会将计算机系统时间年份调到1980年，这样

做可以使得某些反病毒软件不能正常工作。

病毒运行后向系统目录复制副本：
%Windows%\{随机字母文件名}.exe

向各分区复制副本：
X:\{随机字母文件名}.exe
X:\Autorun.inf

更多完整内容请访问：[url]http://www.cisrt.org/bbs/viewthread.php?tid=715[/url]

清除步骤
==========

1. 结束病毒进程：
%Windows%\{随机字母文件名}.exe

2. 删除病毒文件：
%Windows%\{随机字母文件名}.exe

3. 通过分区右键菜单的“打开”进入分区根目录，删除根目录下的病毒文件：
X:\{随机字母文件名}.exe
X:\Autorun.inf

4. 编辑注册表，删除病毒启动项：

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT