一、病毒描述:
病毒通過隨身碟傳播,運行後複製自身到系統目錄並釋放一個灰鴿子木馬。為增強隱蔽性,生成的病毒檔案有資源回收筒和安裝程式兩種圖示。
二、病毒基本情況:
病毒名稱:Trojan-Dropper.Win32.VB.rj
病毒別名:無
病毒類型:病毒
危害級別:3
感染平台:Windows
病毒大小:458,752(位元組)
SHA1:b86e419783b2d1ca9a5d4ea7de4711cf3da7a83b
加殼類型:無
開發工具:Microsoft Visual Basic 5.0 / 6.0
三、病毒行為:
1、病毒運行後會生成以下檔案:
%Windir%/svchost.exe (458752 位元組,資源回收筒圖示)
%windir%/ravfree.exe (307640 位元組,安裝程式圖示,灰鴿子木馬)
%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/servieces.exe (307640 位元組,安裝程式圖
標,灰鴿子木馬)
%windir%/system32/_servieces.exe (307640 位元組,安裝程式圖示,灰鴿子木馬)
2、修改註冊表添加一個啟動項:
鍵路徑:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/winlogon
鍵名:Shell
鍵值:Explorer.exe %windir%/svchost.exe
3、為灰鴿子木馬添加一個服務:
服務名稱:system starmize
顯示名稱:system starmize
描述:系統自帶啟動最佳化
執行檔路徑:%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/servieces.exe
啟動類型:自動
4、修改系統時間。通過執行cmd.exe /c date 1980-01-01命令,將系統時間修改為1980年。
5、監視隨身碟等移動設備,拷貝自身到隨身碟裡面並命名為recycle.exe,寫入autorun.inf,以達到隨隨身碟傳播的目的。
6、病毒釋放的灰鴿木馬會連線http://sx.yixiti.net.ru/i/i.txt下載i.txt檔案,根據i.txt檔案中的內容連線黑客
並接受其控制。
7、監視自身檔案及啟動項,防止被刪除。
四、解決方案:
1、刪除註冊表內的啟動項。修改註冊表刪除病毒啟動項,刪除鍵值內的%windir%/svchost.exe:
鍵路徑:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
鍵名:Shell
鍵值:Explorer.exe %windir%/svchost.exe
2、重啟計算機,進入安全模式。
3、刪除病毒檔案。刪除以下檔案:
%windir%/svchost.exe
%windir%/ravfree.exe
%ProgramFiles%/Common Files/Microsoft Shared/MSINFO/servieces.exe
%windir%/system32/_servieces.exe
4、刪除病毒添加的服務。打開超級巡警,使用服務管理功能刪除名為system starmize的服務。
5、修正系統時間。
五、對預防此病毒的建議:
由於此病毒是通過隨身碟傳播的,所以建議使用超級巡警的隨身碟免疫對隨身碟進行免疫,並且廢除系統的自動運行功能。在將隨身碟插入到電腦時要對隨身碟進行防毒,然後再使用。