tel.xls.exe U盤病毒詳細介紹

病毒類型：木馬

影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為：盜取QQ帳號密碼的木馬病毒，特點是可以通過可移動磁盤傳播。該病毒的主要危害是盜取QQ帳戶和密碼，盜取方式為鍵盤記錄，包括軟件盤，將盜取的號碼和密碼通過郵件發送到指定郵箱。

病毒表現：

1.生成文件
%systemroot%SocksA.exe非系統盤下 tel.xls.exe和autorun.inf
autorun.ini內容：
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe

2.注冊表
(1)添加啟動項
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"ASocksrv" = "SocksA.exe"
更改文件夾選項中顯示隱藏文件的值
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedF
olderHiddenSHOWALLCheckedValue 的類型為REG_SZ(原本為REG_DWORD)

感染病毒后，系統將不再顯示隱藏文件和擴展名，同時tel.xls.exe也偽裝成為EXCEL的圖標，誘導用戶點擊導致深度感染。當用戶雙擊打開磁盤時，autorun.ini使tel.xls.exe自動運行。

查殺方法

1.刪除駐留的病毒程序：打開"任務管理器"，找到tel.xls.exe和SocksA.exe進程，把它們結束掉。到C:WINDOWSsystem32里找到SocksA.exe把它刪除。如果無法刪除，使用killbox選擇重啟刪除，或進入安全模式刪除。

2.禁用移動設備的自動運行功能（目的在于避免重新被U盤感染）：把下面的代碼保存為noautorun.reg，導入注冊表即可。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff

3.恢復顯示所有的文件項：打開regedit，找到HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL中的CheckedValue，檢查它的類型是否為REG_DWORD，如果不是則刪掉 CheckedValue，然后單擊右鍵"新建" - "Dword值"，并命名為CheckedValue，然后修改它的鍵值為1。

4.刪除病毒文件：打開"文件夾選項" - "查看"，選擇"顯示所有文件和文件夾"，并把"隱藏受保護的系統文件"復選框的√去除。在各磁盤上用右鍵選擇"打開"，刪除各個非系統盤根目錄下的autorun.inf和tel.xls.exe文件。