良性病毒借传播发寻人启事

　　今天客服的温同学收到一个弹出“我是徐明，不好意思打扰了”的病毒，一看就是学生编写的。有趣的是他好像在找一个叫“莫言英”的女子。病毒的手法和“禽兽”很相似，具体的请看下面做的简单的分析（本分析报告来源于温同学原创）。

　　病毒的简单分析如下：

　　病毒添加注册表项目：

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] []

　　各个盘符下留下

　　[AutoRun] open=xuming.exe shellexecute=xuming.exe shell\打开(&O)\command=xuming.exe

　　病毒释放如下主要文件：

　　%systemroot%\system32\xuming.exe %systemroot%\system32\dllcache\gnimux.exe %systemroot%\system32\xuming1.vbs %systemroot%\system32\xmreg.reg %systemroot%\system32\pslist.exe %systemroot%\system32\xmhold.bat %systemroot%\system32\istart.bat %systemroot%\xmmsg.vbs %HOMEDRIVE%\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\xuming.exe %systemroot%\system32\myy.txt

　　修改文件夹选项，截图如下：

　　病毒会关闭所有Wscript.exe，重新带参数启动自己的脚本。如果发现被关闭的话会重新创建进程，不断ping本地回环地址。从%systemroot%\system32\xuming.exe和%systemroot%\system32\dllcache\gnimux.exe 中复制丢失的文件。关闭任务管理器，如果不隐藏运行，则取当前时间的小时的个位弹出恶作剧代码。

　　关于恶作剧部分，病毒运行后文件夹会不断闪动是由于病毒将C、D、E盘符下的文件树记录到%systemroot%\system32\myy.txt里面，之后寻找是否有叫“莫言英”的文件或者文件夹，如果有会弹出：“您好，在您的电脑里发现了名为莫言英的文件或文件夹，您是莫言英吗？”如果没有则弹出：“我是徐明，不好意思打扰了。”