病毒介紹
病毒名稱: Trojan.Win32.Dialer.qi病毒類型: 木馬
檔案 MD5: 6F9CDED1508D88B280B8DFA8146C117F
公開範圍: 完全公開
危害等級: 中
檔案長度: 15,176 位元組
感染系統: Windows98 以上版本
開發工具: masm32
加殼類型: UPX 0.89.6 - 1.02
命名對照: Symentec[無]
Mcafee[無]
病毒描述:
該病毒屬木馬類,病毒圖示是moviemk.exe圖示,用以迷惑用戶點擊。病毒運行後,在系統盤中衍生病毒檔案,修改註冊表,聯接網路,開啟連線埠,以達到修改IE主頁的目的。行為分析:
1、病毒運行後,在系統盤中衍生病毒檔案:
%Documents and Settings%\commander\My Documents\accesso.lnk
%Documents and Settings%\commander\My Documents\plug&play.lnk
病毒所在目錄\accesso.lnk
病毒所在目錄\plug&play.lnk
2、修改註冊表:
HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\Main
鍵值: 字串: "Start Page "="www.other******.com/?rid=355"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Enum\Root\LEGACY_RASMAN\0000\
鍵值: 字串: "Control"="RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_RASMAN\0000\Control\
鍵值: 字串: "ActiveService "="RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_TAPISRV\0000\
鍵值: 字串: "Control "="TapiSrv"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root
\LEGACY_TAPISRV\0000\Control
鍵值: 字串: " ActiveService "="TapiSrv"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_RASMAN\0000\
鍵值: 字串: "Control"="RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_RASMAN\0000
\Control\
鍵值: 字串: "ActiveService "="RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_TAPISRV\0000\
鍵值: 字串: "Control"="TapiSrv"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root\LEGACY_TAPISRV\0000
\Control\
鍵值: 字串: "ActiveService "="TapiSrv"
3、連線網路,開啟連線埠,以達到修改IE主頁的目的:
協定:
TCP
TCP
連線埠:
1097
1098 IP:
66.98.244.56
66.98.244.56
隨機開啟本地1024以上連線埠,如:1096
註:% Documents and Settings %是一個可變路徑。病毒通過查詢作業系統來決定當前Documents and Settings資料夾的位置。Windows作業系統中默認的安裝路徑是C:\ Documents and Settings。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
%Documents and Settings%\commander\My Documents\accesso.lnk
%Documents and Settings%\commander\My Documents\plug&play.lnk
病毒所在目錄\accesso.lnk
病毒所在目錄\plug&play.lnk
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\Main
鍵值: 字串: "Start Page "="www.other
******.com/?rid=355"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Enum\Root\LEGACY_RASMAN\0000\
鍵值: 字串: "Control"="RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_RASMAN\0000\Control\
鍵值: 字串: "ActiveService "="RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_TAPISRV\0000\
鍵值: 字串: "Control "="TapiSrv"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_TAPISRV\0000\Control
鍵值: 字串: " ActiveService "="TapiSrv"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_RASMAN\0000\
鍵值: 字串: "Control"="RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_RASMAN\0000
\Control\
鍵值: 字串: "ActiveService "="RasMan"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_TAPISRV\0000\
鍵值: 字串: "Control"="TapiSrv"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_TAPISRV\0000
\Control\
鍵值: 字串: "ActiveService "="TapiSrv"
