U盤蠕蟲bittorrent.exe是一個有重大破壞力的蠕蟲病毒，一部分國外著名的殺毒軟件工具在它面前也都無能為力，比如邁克菲以及NOD32，好在卡巴斯基能干掉它。今日我們來深入分析一下這個病毒，并探討如何查殺它。

　　病毒名稱：Worm.CJump.c.3515723(Kingsoft2006);Worm.snake.a (Rising2006)

　　從同學(xué)的U盤上獲得的樣本，來自學(xué)校打印店的“加料”。是繼reper.exe, revmonE.exe,rose.exe之后又一新的變種病毒，但是病毒手法并不怎么高明。

　　病毒大小：3.35M-3515730字節(jié)

　　中毒癥狀：

　　雙擊U盤無法打開，右鍵打開出現(xiàn)auto,自發(fā)播放等選項(xiàng)。

　　具體病毒行為：染毒pc會生成C:\windows\bittorrent.exe， 為隱匿的系統(tǒng)屬性

　　同時還生成一個ravmonlog文件 用記事本打開后為15969

　　進(jìn)程中出現(xiàn)bittorrent.exe

　　修改注冊表：

　　添加自啟動項(xiàng)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"Bittorrent"="C:\\windows\\bittorrent.exe"

　　添加項(xiàng)目打開系統(tǒng)TCP端口15969

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

　　"15969:TCP"="15969:TCP:*:Enabled:NortonAV"

　　訪問網(wǎng)絡(luò)：訪問廣州天河區(qū)一ADSL的IP

　　當(dāng)U盤插入pc時，病毒進(jìn)程全自動監(jiān)測，并在U盤中生成以下文件：

　　病毒源體：bittorrent.exe

　　日志文件：bittorrent.exe.log

　　C語言動態(tài)鏈接庫：msvcr71.dll

　　inf文件：AUTORUN.INF

　　內(nèi)容為：

　　[AutoRun]

　　open=bittorrent.exe e

　　shellexecute=bittorrent.exe e

　　shell\Auto\command=bittorrent.exe e

　　shell=Auto

　　這樣雙擊U盤會全自動運(yùn)行病毒。感染另一臺pc。

　　清除途徑：

　　1.結(jié)束進(jìn)程：bittorrent.exe

　　2.清除病毒文件：C:\\windows\\bittorrent.exe 注意以文件為潛伏系統(tǒng)屬性，要設(shè)置為顯示一切文件才可看到。

　　同一文件夾下 ravmonlog文件(此文件非病毒)

　　恢復(fù)注冊表：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　刪除

　　"Bittorrent"="C:\\windows\\bittorrent.exe"

　　將GloballyOpenPorts整支鍵刪除

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

　　"15969:TCP"="15969:TCP:*:Enabled:NortonAV"

　　關(guān)于U盤的查殺：

　　請不要在未清除病毒前雙擊U盤，否則會重復(fù)感染

　　清除方式：用右鍵打開，進(jìn)入U盤同樣要設(shè)置為顯示一切文件。將bittorrent.exe，bittorrent.exe.log(非病毒，

　　msvcr71.dll(非病毒)，AUTORUN.INF全部刪除。之后將U盤內(nèi)的文檔拷貝到pc上，對U盤進(jìn)行格式化。之后復(fù)圓文件即可。

　　還需要提醒更為客戶一句，要先確保自己的pc室無毒的，這樣才能有效清除U盤上的病毒。掌握這些病毒的原理分析，以后我們對付病毒就更加游刃有余了。