計算機安全資訊網截獲一個以移動存儲介質傳播，修改網頁文件的“U盤病毒”。

之所以在“U盤病毒”上加引號，是因為它似乎是一個純粹“概念性”的惡意文件，與一般U盤病毒的木馬、后門特性不同，此病毒不具有泄露用戶隱私數據的企圖和作用。更重要的是，其主體為一個vbs文件，作者通過它，又向我們展示了.vbs文件的“強大威力”。

病毒復制自身到
%WinDir%{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
%System%{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs
X:{HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs

并釋放X:autorun.inf，這里的 X 指每一個盤。為以上文件加入隱藏屬性和系統屬性。

除了通過autorun.inf之外，還以以下方式實現啟動：

1.將注冊表
HKEY_CURRENT_USERSoftWareMicrosoftWindows NTCurrentVersionWindowsLoad 鍵值指向在%System%.中的副本

2.修改.txt文件關聯，指向在%WinDir%中的副本，另外與典型的U盤病毒類似的作法是，修改破壞顯示隱藏文件的注冊表，以及驅動器禁用自動播放設置。

同時，病毒由wscript.exe調用后常駐內存，可搜索并結束以下進程：
"ras.exe","360tray.exe","taskmgr.exe","regedit.exe","msconfig.exe","SREng.exe","USBAntiVir.exe"
來阻礙用戶的清除工作。
病毒具有自更新機制，當新版本的病毒體進入電腦后會覆蓋舊版本。

同時，病毒有令人厭惡的感染機制：
病毒每一次啟動，搜索除C盤以外的盤符下的*.htm,*.asp,*.html,*.vbs文件，并將病毒主體代碼內容加在搜索到的前150個未感染網頁文件內容的前面。

然而病毒最令人忍俊不禁之處在于：
病毒搜索除C盤以外的盤符下的*.mpg, *.rmvb, *.avi, *.rm等視頻文件，并以其文件名中含不含有病毒所設定的某些“令人尷尬”的文字為判斷依據，確定文件是否色情視頻，若確認為色情視頻，則立即刪除之！！
這一招，也許就是某些用戶的“噩夢”了……

清除方法也不算復雜，用第三方進程管理工具（只需不在被結束進程列表中），結束內存中的wscript.exe進程，之后進行刪除文件和恢復注冊表的工作。

最麻煩的一環，仍然是清理被加入代碼的網頁文件。被加入代碼以"'$Top"開始，以"'$Bottom"結束，將這兩個標號之間的內容刪除即可。
至于被刪除的XXX片……