病毒标签

　　病毒名称： Email-Worm.Win32.Ghost.X

　　病毒类型： 邮件蠕虫

　　危害等级： 中

　　文件长度： 61,440 字节

　　感染系统： windows 9x 以上版本

　　开发工具： Microsoft Visual Basic 5.0 / 6.0

　　病毒描述

　　该病毒主要通过遍历 OUTLOOK的地址列表，获取email地址并发送病毒邮件，病毒运行后会打开病毒当前所在目录。 病毒运行后将会把自己复制到 "%WINDIR%FONTS"目录下。修改注册表键，将释放后的病毒属性设置为隐藏，添加启动项，从而达到随系统启动的目的。病毒运行后，会释放病毒体到系统盘根目录下"WINDOWS.EXE"、"GHOST.BAT"。

　　行为分析

　　1 、 病毒第一次运行时将会把自己复制到"%WINDIR%FONTS"目录下，文件名为随机的数字和字母组合，文件扩展名为COM 。

　　2 、 修改以下注册表键， 添加启动项，从而使 "%WINDIR%FONTS" 下的病毒随系统启动，该病毒文件名为 5 位随机字符

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

　　值： "TempCom"=< 随机数字和字符 >.com 。

　　用于隐藏病毒文件：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced 值： "HideFileExt"

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced 值： "Hidden"

　　修改键：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCabinetStat 值 "fullpath" = "1"

　　3 、遍历 OUTLOOK 的地址列表，并发送病毒邮件。 主题： Document， 附件： Document.exe 。

　　4 、释放病毒体： "%WINDIR%FONTS" 目录下的病毒运行后，会释放病毒体 "WINDOWS.EXE" 、 "GHOST.BAT" 到系统盘根目录。 搜索系统盘根目录下的文件夹，并在文件夹中释放一个与该文件夹同名的文件，实为病毒复本。

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。