Worm.Win32.Rabbit.a

病毒簡介

病毒名稱： Worm.Win32.Rabbit.a
中文名稱： 兔子
病毒類型： 蠕蟲類
檔案 MD5： c1d4ed9b369d8f37743d42105d716a5b
公開範圍： 完全公開
危害等級： 5
檔案長度： 加殼後 195,313 位元組，脫殼後446,464 位元組
感染系統： Win9X以上系統
開發工具： Microsoft Visual Basic 5.0 / 6.0
加殼類型： RLPack

病毒描述

該病毒運行後，連線網路下載病毒體到本機運行。衍生病毒副本到系統目錄，添加註冊表IE
擴展項以跟隨IE啟動。插入病毒執行緒到Winlogon進程中，不斷檢測病毒進程是否存在，如無則創
建。並禁用掉註冊表，查尋不利病毒程式予以關閉，例如gpedit.msc。遍歷ProgramFiles目錄，
替換擴展名為.EXE的檔案為病毒副本。

行為分析

1 、衍生病毒檔案到下列目錄：
[DriveLetter]\1.exe
[DriveLetter]\1.txt
[DriveLetter]\AutoRun.inf
[DriveLetter]\Rabbit.exe
%WinDir%\GHO.bat
%WinDir%\GHO.inf
%WinDir%\ILTZ.bat
%WinDir%\ILTZ.inf
%WinDir%\IOTZ.bat
%WinDir%\IOTZ.inf
%System32%\JK~.exe
%System32%\loveRabbit~.exe
%System32%\msexch400.dll
%System32%\Rabbit.exe
2 、新建下列註冊表鍵值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\
\StubPath
Value: String: "%WinDir\system32\JK~.exe"
3 、刪除下列註冊表鍵值：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
InternetSettings\5.0\Cache\Extensible Cache\
MSHist012007041020070411\CachePrefix
Value: String: ":2007041020070411: "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\5.0\Cache\Extensible Cache\
MSHist012007041020070411\CacheRepair
Value: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\
Minimal\\@
Value: String: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\
Network\\@
Value: String: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Minimal\\@
Value: String: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Network\\@
Value: String: "DiskDrive"
4 、病毒調用下列 .bat 及 .inf 檔案，遍歷 ProgramFiles 目錄，搜尋 .EXE 檔案，替換為
病毒副本 , 同時搜尋 .GHO 檔案，替換為病毒副本，以防止用戶恢復備份。
%WinDir%\GHO.bat
%WinDir%\GHO.inf
%WinDir%\ILTZ.bat
%WinDir%\ILTZ.inf
%WinDir%\IOTZ.bat
%WinDir%\IOTZ.inf
5 、由於病毒替換掉正常可執行程式，原有程式正常關聯仍存在，所以，當用戶調用正常程式時，
如 IE ，即可能觸發病毒體。
註： % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 ， windows95/98/me 中默認的安裝路徑是 C:\Windows\System ， windowsXP 中默認的安裝路徑是 C:\Windows\System32 。

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。
　 　 (1)使用安天木馬防線斷開網路，結束病毒進程：
%System32%\loveRabbit~.exe
使用安天木馬防線進程管理功能摘除 winlogon.exe 中的
msexch400.dll 檔案 .
　 　 (2) 刪除病毒釋放檔案：
[DriveLetter]\1.exe
[DriveLetter]\1.txt
[DriveLetter]\AutoRun.inf
[DriveLetter]\Rabbit.exe
%WinDir%\GHO.bat
%WinDir%\GHO.inf
%WinDir%\ILTZ.bat
%WinDir%\ILTZ.inf
%WinDir%\IOTZ.bat
%WinDir%\IOTZ.inf
%System32%\JK~.exe
%System32%\loveRabbit~.exe
%System32%\msexch400.dll
%System32%\Rabbit.exe
　 　 (3)建議用 Windows 系統光碟恢復 Windows 檔案，使用安天木馬防線
掃描全盤。