資料
病毒名稱: Trojan-PSW.Win32.病毒類型: 木馬
檔案 MD5: 072C9A1423C27FBB1D942D6A2FA4E4FE
公開範圍: 完全公開
危害等級: 3
檔案長度: 46,350 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: nSPack 3.1
病毒描述
該病毒屬木馬類。病毒運行後在 program Files 、 %Windir% 、 %System32% 資料夾下複製自身,生成 14 個病毒檔案;修改註冊表,添加啟動項,以達到隨機啟動的目的;將 IE 更改為非默認瀏覽器;修改 大部分檔案的啟動方式,和檔案關聯,並創建新的檔案類型。行為分析
1 、複製自身
病毒運行後在系統盤下大量複製自身:c:\Program Files\Common Files\inexplore.pif
c:\Program Files\Internet Explorer\
%windir%
% windir%\Debug\DebugProgram.exe
% windir%\exerouter.exe
% windir%\
% windir%\
% windir%\Shell.sys
%system32%\smss.exe
%system32%\command.pif
%system32%\
%system32%\
%system32%\
%system32%\
2 、 修改註冊表,
添加啟動項,以達到隨機啟動的目的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "TProgram"="C:\WINNT\smss.exe"
3 、 將 IE 更改為非默認瀏覽器:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main鍵值 : 字串 : "Check_Associations"="No"
4 、 修改檔案的啟動方式和檔案關聯
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\shellnew新鍵值 : 字串 : "Command"="%systemroot%\system32\rundll32.exe
%SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
原鍵值 : 可擴充字串 : "Command"="%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
新鍵值 : 字串 : @="WindowFiles"
原鍵值 : 字串 : @="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\
command
新鍵值 : 字串 : @=""C:\Program Files\Internet Explorer\" %1"
原鍵值 : 字串 : @=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-
08002B30309D}\shell\OpenHomePage\Command
新鍵值 : 字串 : @=""C:\Program Files\Internet Explorer\""
原鍵值 : 可擴充字串 : @="C:\Program Files\Internet Explorer\iexplore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command
新鍵值 : 字串 : @="%SystemRoot%\"
原鍵值 : 可擴充字串 : @="%SystemRoot%\Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command
新鍵值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE
netshell.dll,InvokeDunFile %1"
原鍵值 : 可擴充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE
NETSHELL.DLL,InvokeDunFile %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
新鍵值 : 字串 : @=""C:\Program Files\Internet Explorer\ %1"
原鍵值 : 字 串 : @=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command
新鍵值 : 字串 : @=""C:\Program Files\Internet Explorer\" -nohome"
原鍵值 : 字 串 : @=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command
新鍵值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif""
原鍵值 : 字 串 : @=""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\command
新鍵值 : 字串 : @="rundll32.exe %SystemRoot%\system32\mshtml.dll,
PrintHTML "%1""
原鍵值 : 可擴充字串 : @="rundll32.exe %SystemRoot%\system32\mshtml.dll,
PrintHTML"%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command
新鍵值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif" -nohome"
原鍵值 : 字串 : @=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command
新鍵值 : 字串 : @="%SystemRoot%\System32\rundll32.exe setupapi,
InstallHinfSectionDefaultInstall 132 %1"
原鍵值 : 可擴充字串 : @="%SystemRoot%\System32\rundll32.exe
setupapi,InstallHinfSection DefaultInstall 132 %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command
新鍵值 : 字串 : @="%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
原鍵值 : 可擴充字串 : @="%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
新鍵值 : 字串 : "Shell"="explorer.exe 1"
原鍵值 : 字串 : "Shell"="Explorer.exe"
注
%windir% 是一個可變路徑。病毒通過查詢作業系統來決定當前 windows 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt , windows95/98/me/xp 中默認的安裝路徑是 C:\Windows;%system32% 同理。--------------------------------------------------------------------------------
清除方案
安天木馬防線
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )手工清除
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。(1) 使用 安天木馬防線 “進程管理”關閉病毒進程
(2) 刪除病毒檔案:
c:\Program Files\Common Files\inexplore.pif
c:\Program Files\Internet Explorer\
%windir% % windir%\Debug\DebugProgram.exe
% windir%\exerouter.exe
% windir%\
% windir%\
% windir%\Shell.sys
%system32%\smss.exe
%system32%\ %system32%\
%system32%\ it
%system32%\
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "TProgram"="C:\WINNT\smss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
鍵值 : 字串 : "Check_Associations"="No"
恢復註冊表原鍵值(如果有註冊表備份可以直接將其導入):
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew
新鍵值 : 字串 : "Command"="%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
原鍵值 : 可擴充字串 : "Command"="%SystemRoot%\system32\
rundll32.exe %SystemRoot%\system32\syncui.dll,
Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
新鍵值 : 字串 : @="WindowFiles"
原鍵值 : 字串 : @="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\
shell\open\command
新鍵值 : 字串 : @=""C:\Program Files\InternetExplorer\
" %1"
原鍵值 : 字串 : @=""C:\Program Files\Internet
Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{871C5380-42A0-1069-A2EA-08002B30309D}\
shell\OpenHomePage\Command
新鍵值 : 字串 : @=""C:\Program Files\InternetExplorer\
""
原鍵值 : 可擴充字串 : @="C:\Program Files\Internet Explorer\
iexplore.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command
新鍵值 : 字串 : @="%SystemRoot%\"
原鍵值 : 可擴充字串 : @="%SystemRoot%\Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command
新鍵值 : 字串 : @="%SystemRoot%\system32\RUNDLL32.EXE
NETSHELL.DLL,InvokeDunFile %1"
原鍵值 : 可擴充字串 : @="%SystemRoot%\system32\RUNDLL32.EXE
NETSHELL.DLL,InvokeDunFile %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
新鍵值 : 字串 : @=""C:\Program Files\Internet Explorer\
%1"
原鍵值 : 字 串 : @=""C:\Program Files\Internet Explorer\
iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command
新鍵值 : 字串 : @=""C:\Program Files\Internet Explorer\
" -nohome"
原鍵值 : 字 串 : @=""C:\Program Files\Internet Explorer\
iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\
command
新鍵值 : 字串 : @=""C:\Program Files\common~1\inexplore.pif""
原鍵值 : 字 串 : @=""C:\Program Files\Internet Explorer\
iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\
command
新鍵值 : 字串 : @="rundll32.exe %SystemRoot%\system32\
mshtml.dll,PrintHTML "%1""
原鍵值 : 可擴充字串 : @="rundll32.exe%SystemRoot%\system32\
mshtml.dll, PrintHTML"%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command
新鍵值 : 字串 : @=""C:\Program Files\common~1\
inexplore.pif" -nohome"
原鍵值 : 字串 : @=""C:\Program Files\Internet Explorer\
iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\
command
新鍵值 : 字串 : @="%SystemRoot%\System32\rundll32.exe
setupapi,InstallHinfSection DefaultInstall 132 %1"
原鍵值 : 可擴充字串 : @="%SystemRoot%\System32\rundll32.exe
setupapi,InstallHinfSection DefaultInstall 132 %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\
command
新鍵值 : 字串 : @="%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
原鍵值 : 可擴充字串 : @="%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon
新鍵值 : 字串 : "Shell"="explorer.exe 1"
原鍵值 : 字串 : "Shell"="Explorer.exe"
