文件名称：gg.exe

文件大小：65607 byte

AV命名：

Worm.Win32.AutoRun.wp  卡巴斯基

Worm.Delf.65607  金山毒霸

Win32.HLLW.Autoruner.548   Dr.WEB

加壳方式：未

编写语言：Microsoft Visual C++ 6.0

文件MD5：33d493af096ef2fa6e1885a08ab201e6

行为分析：

1、  释放病毒文件：

C:\WINDOWS\gg.exe  65607 字节

2、  添加启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 (注册表值) ctfmon.exe = REG_SZ, "C:\windows\gg.exe"

3、  查找可用磁盘，生成：autorun.inf和gg.exe，实现U盘感染。

4、  连接121.206.1.2××下载木马，不过未实现。

5、  直接获取系统内存，隐藏自身，防止被结束。

解决方法：

1、  下载冰刃和SREng(均可到down.45it.com下载)。

2、  打开冰刃，结束病毒进程。（gg.exe）

3、  打开SREng，删除启动项：

(注册表值) ctfmon.exe，指向的C:\windows\gg.exe。

注意不要删除错了。

4、  删除病毒文件：

C:\WINDOWS\gg.exe  65607 字节

5、  用winrar删除磁盘底下的文件，注意不要双击进入磁盘，不要病毒又复活了。

6、若无法清除，请把病毒样本发送至526170722@qq.com