一、“U盘寄生虫rea”（Worm.Win32.AutoRun.rea） 威胁级别：★★★★★

    该病毒图标伪装成图片诱惑用户点击，病毒运行后，创建互斥量防止病毒多次运行，删除%System32%目录下的mfc71.dll文件，遍历进程查找safeboxTray.exe（360安全软件进程），找到该进程后将其进程强行结束，设置本地时间为2004年，用ShellExecuteA函数调用cacls.exe给everyone 用户组对packet.dll、pthreadVC.dll、wpcap.dll、npf.sys、npptools.dll、wanpacket.dll、acpidisk.sys 的完全控制，释放病毒驱动文件beep.sys到%System32%\Drivers目录下，替换现有的驱动文件，创建驱动设置名：“\\.\RESSDTDOT”利用系统beep服务加载病毒文件，恢复SSDT躲避卡巴主动提示，遍历进程查找多款安全软件进程找到则将其进程强行结束，并停止多款安全软件服务，将%System32%目录下的wuauct.exe拷贝到%HomeDrive%下重命名：temp.temp，拷贝病毒自身到%System32%目录下与%System32%Dllcache目录下，调用iexplore.exe创建进程，调用FindWindows函数查找类名为"IEFrame" 窗口，申请内存空间，将病毒代码写入IEXPLORE.EXE连接网路执行下载，拷贝自身到%HomeDrive%下命名为：MSCL.PLF，在每个驱动器下创建AUTORUN.INF达到双击启动病毒目的，获取光标位置、获取窗口句柄、获取当前窗口标签内容，检测当前窗口标题是否存在病毒预设的标题（多款安全软件标题），如发现则向该窗体发送消息将当前窗体关闭，将病毒自身属性设置为隐藏，修改注册表、删除注册表破坏安全模式、添加注册表启动项、劫持多款安全软件进程。

二、“U盘寄生虫qpv”（Worm.Win32.AutoRun.qpv） 威胁级别：★★★★★

    该病毒是蠕虫，病毒的图标为windows自动更新程序，诱骗用户点击运行。病毒运行后，隐藏自身，破坏系统正常SFC功能，更改系统文件操作权限、删除系统文件、并用病毒文件替换正常的系统更新程序。病毒遍历进程列表，搜索并结束对其自身存在构成威胁的进程，隐藏打开Internet Explorer，通过远程写入在IE进程中创建病毒线程。病毒修改注册表启动项，达到开机自启动的目的、添加映像劫持项，使众多安全工具无法启动。病毒在各磁盘分区创建autorun.inf文件和病毒副本文件way.pif文件，达到自启动和U盘传播的目的。病毒检测当前鼠标位置的窗口是否含有对病毒有危险的信息，当出现病毒认为威胁它存在的信息时关闭此窗口。病毒连接网络更新自身，下载并运行大量其他病毒。

安天反病毒工程师建议