病毒簡介
病毒類型: 木馬
檔案 MD5: 9BC2F9E15A4802FE5BE55A0510F2F0E3
公開範圍: 完全公開
危害等級: 中
檔案長度: 25,185 位元組
感染系統: windows98以上版本
加殼類型: FSG 2.0
命名對照:Symentec[]
Mcafee[]
病毒詳細說明
病毒描述:
該病毒屬木馬類,病毒運行後釋放病毒檔案%windir%/NT/nrcs.exe,刪除註冊表所有啟動項,修改註冊表,添加啟動項,以達到隨機啟動的目的。還原系統隱藏屬性,隨進程userinit.exe和Explorer.exe啟動。
行為分析:
1、病毒運行後釋放病毒檔案:
%windir%/NT/nrcs.exe
2、刪除註冊表中所有啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的鍵值全部刪除
3、修改註冊表項,隨進程userinit.exe和Explorer.exe啟動:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
新建鍵值: 字串: " Shell "="Explorer.exe C:\WINDOWS\NT\nrcs.exe"
原鍵值: 字元串: " Shell "="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
新建鍵值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\NT\nrcs.exe"
原鍵值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,"
4、新建註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Microsoft (R) Windows Vista
鍵值: 字串: "NT Runtime Compatibility Service "="C:\WINDOWS\NT\nrcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE
鍵值: 字串: Tmp"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_NTRCS\0000\Control
鍵值: 字串: "ActiveService"="ntrcs"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_NTRCS\0000
鍵值: 字串: "DeviceDesc "="Windows Vista/NT
Runtime Compatibility Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_NTRCS\0000
鍵值: 字串: "Service "="ntrcs"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs
鍵值: 字串: "ImagePath "="C:\WINDOWS\NT\nrcs.exe. "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs
鍵值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
鍵值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT
\nrcs.exe:*:Enabled:Microsoft (R) Windows Vista/NT Runtime
Compatibility Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
鍵值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT
\nrcs.exe:*:Enabled:Microsoft (R) Windows Vista/NT Runtime
Compatibility Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
\LEGACY_NTRCS\0000\Control
鍵值: 字串: "ActiveService "="ntrcs"
5、還原系統隱藏屬性
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
