病毒名称：Worm.VBS.headtail.a

病毒类型：蠕虫病毒

病毒语言：Visual Basic

关联文件：WScript.exe

多个HTML文件（以ActiveX控件形式）

生成文件：各个盘下的autorun.inf及 管理员名.vbs

%systemroot%\ autorun.inf及 管理员名.vbs

%systemroot%\system32\ autorun.inf及 管理员名.vbs

病毒机理

病毒首先将自己的属性改为只读、隐藏与系统文件通过设置注册表中的

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

项中的键值从而达到隐藏自己的目的。

在经过感染后，染毒计算机成为了黑客的肉鸡，这时它会发送一个数据包，并将肉鸡与远程控制的客户端进行连接。从而达到监视系统、传染文件与supervirus脚本测试的目的。

接着，病毒又通过ActiveX的方式对自己进行保护，同时也在注册表中加载了自己的启动项（HKEY_CURRENT_USER\SoftWare\Microsoft\Windows NT\CurrentVersion\Windows\Load）。

在如下HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\Username

这个项中，病毒获取了系统管理员和普通用户的名称，为自己的自动运行病毒创造了文件名。

接下来又是一个关键命令：

Call CopyFile(objfso, vbsCode, path_vbs)

Call SetFileAttr(objfso, path_vbs)

inf_autorun = "[AutoRun]" & VBCRLF & "Shellexecute=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell\AutoRun=打开(&O)" & VBCRLF & "shell\AutoRun\command=WScript.exe " & Name_V1 & " ""AutoRun""" & VBCRLF & "shell\AutoRun1=资源管理器(&X)" & VBCRLF & "shell\AutoRun1\command=WScript.exe " & Name_V1 & " ""AutoRun"""

Call CopyFile(objfso, inf_autorun, path_autorun)

Call SetFileAttr(objfso, path_autorun)

以上这段语句就是用来创建一个autorun.inf文件。他将右键打开的文件设为了windows用来解析vbs脚本的WScirpt.exe文件。

然后，病毒对自身又加了一些可被打开的几率，就是将.txt

.chm

.reg

.exe

.hlp扩展名的文件关联转向自身，用户只要打开此类文件，就会在一次感染病毒。

下一步便是干掉杀毒软件与安全工具。在这个病毒中，病毒调用了killprocess命令，强制结束了"ras.exe", "360tray.exe", "taskmgr.exe", "cmd.exe", "cmd.com", "regedit.exe", "regedit.scr", "regedit.pif", "regedit.com", "msconfig.exe", "SREng.exe", "USBAntiVir.exe"这些进程，这些症状也是中了AV终结者病毒最常见的现象。

在下一步是感染网页问价，使用了ActiveX控件方式加载病毒。这一步是最危险的。只要用户不小心允许了带有病毒自身的ActiveX控件，病毒还会死灰复燃。

最后，病毒对从前的设置进行了检查，对没有发挥作用的项进行了修正，这个病毒脚本到此就结束了。

清除方法：

用IceSword禁止WScript.exe程序运行，然后再依次删除

各个盘下的autorun.inf及 管理员名.vbs

%systemroot%\ autorun.inf及 管理员名.vbs

%systemroot%\system32\ autorun.inf及 管理员名.vbs

最后注意自己的网页文件有无异常，清除受感染的网页文件，升级杀毒软件病毒库，全面查杀重启后，应会一切正常。