目前，恶意程序Trojan-Dropper.Win32.VB.jen正在广泛传播，该病毒运行后在各盘中都会创建一个autorun.inf文件，导致各盘双击或右键均无法打开，隐藏用户原有的文件夹并创建以用户原有文件夹名命名，图标为文件夹图标的.exe文件，篡改首页为http://www.redtube.com，并修改IE窗口标题为反腐字眼（STOP CORRUPTION!!!）。
　　一、病毒相关分析：
　　病毒标签：
　　病毒名称：Trojan-Dropper.Win32.VB.jen
　　病毒别名：反腐蠕虫
　　感染平台：Windows
　　病毒大小：206336 bytes
　　S H A 1  ：f57aae6c1fbcf52be41333633fc00d2e625e31f1
　　加壳类型：UPX V2.00-V3.00
　　开发工具：Microsoft Visual Basic 5.0 / 6.0
　　病毒行为：
　　1、在各盘下创建autorun.inf，导致各盘均无法使用双击或右键打开。
　　2、生成以下病毒文件：
　　%Windir%\kagwang.exe       206,336字节
　　%Windir%\asifucan.exe      167,424 字节
　　%Windir%\details.bat       167,424 字节
　　%Windir%\important.mp3.scr 167,424 字节
　　%Windir%\important.htm.scr 167,424 字节
　　%Windir%\info.exe          167,424 字节
　　%Windir%\news.bat          167,424 字节

　　%Windir%\notice.com        167,424 字节
　　%Windir%\notice.mp3.com    167,424 字节
　　%Windir%\readme            167,424 字节
　　%Windir%\readme.exe        167,424 字节
　　%Windir%\ztescd32.exe      167,424 字节
　　%Windir%\Msinet32.exe      56,832字节
　　%Windir%\system32\_svchost32.exe 167,424 字节
　　%SystemDrive%\ZTE Scandal.exe    167,424 字节
　　%AppData% \svchost32.exe         167,424 字节
　　3、添加以下注册表项，达到病毒文件随机启动的目的：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run
　　数值名称：Jun Lozada
　　数值数据："C:\WINDOWS\ztescd32.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run
　　数值名称：Kagwang
　　数值数据："C:\WINDOWS\kagwang.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run
　　数值名称：lsass.exe
　　数值数据："C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run
　　数值名称：Microsoft Internet Traffic Control
　　数值数据："C:\WINDOWS\Msinet32.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run
　　数值名称：svchost32.exe
　　数值数据："C:\WINDOWS\system32\_svchost32.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run
　　数值名称：ZTEScandal.A
　　数值数据："C:\Documents and Settings\Administrator\Local Settings\Application Data\svchost32.exe"
　　4、修改以下注册表键值，到达篡改首页的目的：
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　数值名称：Local Page
　　数值数据:  "http://www.redtube.com/"
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　数值名称：Start Page
　　数值数据:  "http://www.redtube.com/"
　　5、修改以下注册表键值，达到不显示隐藏文件和文件夹的目的：
　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　\CurrentVersion\Explorer\Advanced
　　数值名称：Hidden
　　数值数据:: DWORD: 0 (0)
　　6、修改以下注册表键值，达到隐藏已知文件类型的扩展名的目的：
　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　\CurrentVersion\Explorer\Advanced
　　数值名称：HideFileExt
　　数值数据:: DWORD: 1 (0x1)
　　7、添加以下注册表键值来屏蔽任务管理器和注册表编辑器：
　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　\CurrentVersion\Policies\System
　　数值名称：DisableTaskMgr
　　数值数据：1 (0x1)
　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　\CurrentVersion\Policies\System
　　数值名称：DisableRegistryTools
　　数值数据：1 (0x1)
　　8、添加如下注册表项，使用户没有“文件夹选项”：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\policies\Explorer
　　数值名称：NoFolderOptions
　　数值数据：1 (0x1)
　　9、添加如下注册表项，使IE窗口标题为：STOP CORRUPTION!!!
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　数值名称：Window Title
　　数值数据："STOP CORRUPTION!!!"
　　二、解决方案
　　1、结束病毒进程。
　　_SVCHOST32.EXE
　　ZTESCD32.EXE
　　KAGWANG.EXE
　　SVCHOST32.EXE
　　MSINET32.EXE
　　2、删除病毒的启动项。
　　名称：lsass.exe
　　路径：%SystemDrive%\Documents and Settings\Administrator\「开始」菜单\程序\启动
　　名称：svchost32.exe
　　路径：%Windir%\system32\_svchost32.exe
　　注册表路径：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
　　\CurrentVersion\Run
　　名称：ZTEScandal.A
　　路径：%AppData%\svchost32.exe
　　注册表路径：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
　　\CurrentVersion\Run
　　名称：Kagwang
　　路径：%Windir%\kagwang.exe
　　注册表路径：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
　　\CurrentVersion\Run
　　名称：Jun Lozada
　　路径：%Windir%\ztescd32.exe
　　注册表路径：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
　　\CurrentVersion\Run
　　名称：Microsoft Internet Traffic Control
　　路径：%Windir%\Msinet32.exe
　　注册表路径：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
　　\CurrentVersion\Run
　　3、删除以下注册表项来解锁任务管理器及注册表编辑工具：
　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　\CurrentVersion\Policies\System
　　数值名称：DisableTaskMgr
　　数值数据：1 (0x1)
　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　\CurrentVersion\Policies\System
　　数值名称：DisableRegistryTools
　　数值数据：1 (0x1)
　　4、修改以下注册表键值，恢复显示隐藏文件和文件夹：
　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　\CurrentVersion\Explorer\Advanced
　　数值名称：Hidden
　　数值数据：DWORD: 1 (0x1)
　　5、修改以下注册表键值，显示已知文件类型的扩展名：
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\
　　CurrentVersion\Explorer\Advanced
　　数值名称：HideFileExt
　　数值数据：DWORD: 0 (0)
　　6、删除以下注册表项，使“文件夹选项”恢复：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\policies\Explorer
　　数值名称：NoFolderOptions
　　数值数据：1 (0x1)
　　7、修改以下注册表键值，恢复被篡改的首页：
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　数值名称：Local Page
　　数值数据："C:\WINDOWS\system32\blank.htm"
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　数值名称：Start Page
　　数值数据：
　　"http://www.microsoft.com/isapi/redir.dllprd=ie&pver=6&ar=msnhome"
　　8、删除如下注册表项，恢复IE窗口标题：
　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
　　数值名称：Window Title
　　数值数据："STOP CORRUPTION!!!"
　　9、清除所有盘符下的Autorun.inf
　　10、删除以下病毒文件：
　　%Windir%\kagwang.exe       206,336字节
　　%Windir%\asifucan.exe      167,424 字节
　　%Windir%\details.bat       167,424 字节
　　%Windir%\important.mp3.scr 167,424 字节
　　%Windir%\important.htm.scr 167,424 字节
　　%Windir%\info.exe          167,424 字节
　　%Windir%\news.bat          167,424 字节
　　%Windir%\notice.com        167,424 字节
　　%Windir%\notice.mp3.com    167,424 字节
　　%Windir%\readme            167,424 字节
　　%Windir%\readme.exe        167,424 字节
　　%Windir%\ztescd32.exe      167,424 字节
　　%Windir%\Msinet32.exe      56,832字节
　　%Windir%\system32\_svchost32.exe 167,424 字节
　　%SystemDrive%\ZTE Scandal.exe    167,424 字节
　　%AppData% \svchost32.exe         167,424 字节
　　11、删除病毒创建的以用户原有文件夹名命名，图标为文件夹图标的exe文件。
　　12、屏蔽以下网址：http://www.redtube.com