请输入您要查询的百科知识:

 

词条 Trojan-Spy.Win32.VB.my
释义

该病毒属木马类,病毒运行后衍生病毒文件,连接网络,下载病毒文件,修改注册表,添加启动项,以达到随机启动的目的,修改可执行文件的关联文件,使可执行文件无法正常运行。

基本资料

病毒名称: Trojan-Spy.Win32

中文名称: 落雪变种

病毒类型: 木马

文件 MD5: D039BF4DE2BFA3799ACCF60530198C65

公开范围: 完全公开

危害等级: 4

文件长度: 48,836 字节

感染系统: windows98以上版本

开发工具: Microsoft Visual Basic 5.0 / 6.0

加壳类型: NSPack 3.x

命名对照: 驱逐舰 [backdoor.generic.1332]

BitDefender [Trojan.Spy.]

行为分析

一、下载病毒文件

%windir%

%windir%\\exeroute.exe

%windir%\\

%windir%\\

%windir%\\winlogon.exe

%system32%\\command.pif

%system32%\\

%system32%\\

%system32%\\

%system32%\\

%system32%\\

%Program Files%\\Common Files\\iexplore.pif

%Program Files%\\Internet Explorer\\

二、修改注册表,添加启动项

新建注册表项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\

键值: 字串: "Torjan Program "="C:\\WINDOWS\\WINLOGON.EXE"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\

键值: 字串: "Check_Associations "="No"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\DefaultIcon\\

键值: 字串: "@"="%1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\Shell

\\Open\\Command\\

键值: 字串: "@"="C:\\WINDOWS\\ExERoute.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\

键值: 字串: "LocalizedString "="iexplore"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\ shell\\open\\command\\

键值: 字串: "@"=""C:\\Program Files\\common~1\\iexplore.pif""

修改的注册表项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT

\\CurrentVersion\\ Winlogon\\

新建键值: 字串: "Shell "="Explorer.exe 1"

原键值: 字串: "Shell "="Explorer.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet\\

新建键值: 字串: "@"="iexplore.pif"

原键值: 字串: "@"="IEXPLORE.EXE"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\InternetShortcut

\\shell\\open\\ command\\

新建键值: 字串: "@"=" shdocvw.dll,OpenURL %l"

原键值: 字串: "@"="rundll32.exe shdocvw.dll,OpenURL %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scrfile\\shell

\\install\\command\\

新建键值: 字串: "@"=" desk.cpl,InstallScreenSaver %l"

原键值: 字串: "@"="rundll32.exe desk.cpl,InstallScreenSaver %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scriptletfile

\\Shell\\Generate Typelib\\ command\\

新建键值: 字串: "@"=""C:\\WINDOWS\\system32

\\" C:\\WINDOWS\\ system32\\scrobj.dll,GenerateTypeLib "%1""

原键值: 字串: "@"=""C:\\WINDOWS\\system32\\RUNDLL32.EXE"

C:\\WINDOWS\\ system32\\scrobj.dll,GenerateTypeLib "%1""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\telnet\\shell\\open

\\command\\

新建键值: 字串: "@"=" url.dll,TelnetProtocolHandler %l"

原键值: 字串: "@"="rundll32.exe url.dll,TelnetProtocolHandler %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.bfc\\ShellNew\\

新建键值: 字串: "Command"="%SystemRoot%\\system32\\ %SystemRoot%\\system32\\syncui.dll,Briefcase_Create % 2!d! %1"

原键值: 字串: "Command"="%SystemRoot%\\system32\\rundll32.exe %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.exe\\

新建键值: 字串: "@"="winfiles"

原键值: 字串: "@"="exefile"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.lnk\\ShellNew\\

新建键值: 字串: "Command "=" appwiz.cpl,NewLinkHere %1"

原键值: 字串: "Command "="rundll32.exe appwiz.cpl,NewLinkHere %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Applications\\iexplore.exe

\\shell\\open\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\" %1"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{871C5380-42A0-1069-A2EA-08002B30309D}\\shell\\OpenHomePage\\Command\\

新建键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\""

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\cplfile\\shell\\cplopen\\command\\

新建键值: 字串: "@"=" shell32.dll,Control_RunDLL "%1",%*"

原键值: 字串: "@"="rundll32.exe shell32.dll,Control_RunDLL "%1",%*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Drive\\shell\\find\\command\\

新建键值: 字串: "@"="%SystemRoot%\\"

原键值: 字串: "@"="%SystemRoot%\\Explorer.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\dunfile\\shell\\open\\command\\

新建键值: 字串: "@"="%SystemRoot%\\system32\\ NETSHELL.DLL,InvokeDunFile %1"

原键值: 字串: "@"="%SystemRoot%\\system32\\RUNDLL32.EXE NETSHELL.DLL, InvokeDunFile %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\ftp\\shell\\open\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\" %1"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\open\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\" -nohome"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\opennew\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\common~1\\iexplore.pif" %1"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\print\\command\\

新建键值: 字串: "@"=" %SystemRoot%\\system32\\ mshtml.dll,PrintHTML "%1""

原键值: 字串: "@"="rundll32.exe %SystemRoot%\\system32\\mshtml.dll,PrintHTML "%1"".

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\HTTP\\shell\\open\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\common~1\\iexplore.pif" -nohome"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\inffile\\shell\\Install\\command\\

新建键值: 字串: "@"="%SystemRoot%\\System32\\ setupapi,InstallHinfSection

DefaultInstall 132 %1"

原键值: 字串: "@"="%SystemRoot%\\System32\\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

三、修改可执行文件的关联文件

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32

--------------------------------------------------------------------------------

清除方案

一、使用杀毒软件

安天木马防线(推荐)

二、手动清除

手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%windir%

%windir%\\exeroute.exe

%windir%\\

%windir%\\

%windir%\\winlogon.exe

%system32%\\command.pif

%system32%\\

%system32%\\

%system32%\\

%system32%\\

%system32%\\

%Program Files%\\Common Files\\iexplore.pif

%Program Files%\\Internet Explorer\\

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

新建注册表项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\

键值: 字串: "Torjan Program "="C:\\WINDOWS\\WINLOGON.EXE"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\

键值: 字串: "Check_Associations "="No"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\DefaultIcon\\

键值: 字串: "@"="%1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\Open\\Command\\

键值: 字串: "@"="C:\\WINDOWS\\ExERoute.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\

键值: 字串: "LocalizedString "="iexplore"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\

shell\\open\\command\\

键值: 字串: "@"=""C:\\Program Files\\common~1\\iexplore.pif""

修改的注册表项:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT

\\CurrentVersion\\ Winlogon\\

新建键值: 字串: "Shell "="Explorer.exe 1"

原键值: 字串: "Shell "="Explorer.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet\\

新建键值: 字串: "@"="iexplore.pif"

原键值: 字串: "@"="IEXPLORE.EXE"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\InternetShortcut

\\shell\\open\\ command\\

新建键值: 字串: "@"=" shdocvw.dll,OpenURL %l"

原键值: 字串: "@"="rundll32.exe shdocvw.dll,OpenURL %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scrfile\\shell

\\install\\command\\

新建键值: 字串: "@"=" desk.cpl,Install

ScreenSaver %l"

原键值: 字串: "@"="rundll32.exe desk.cpl,Install

ScreenSaver %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scriptletfile

\\Shell\\Generate Typelib\\

command\\

新建键值: 字串: "@"=""C:\\WINDOWS\\system32\\"

C:\\WINDOWS\\ system32\\scrobj.dll,GenerateTypeLib "%1""

原键值: 字串: "@"=""C:\\WINDOWS\\system32\\RUNDLL32.EXE"

C:\\WINDOWS\\ system32\\scrobj.dll,GenerateTypeLib "%1""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\telnet\\shell\\open

\\command\\

新建键值: 字串: "@"=" url.dll,TelnetProtoco

lHandler %l"

原键值: 字串: "@"="rundll32.exe url.dll,TelnetProtocolHandler %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.bfc\\ShellNew\\

新建键值: 字串: "Command"="%SystemRoot%\\system32\\ %SystemRoot%\\system32\\syncui.dll,Briefcase_Create % 2!d! %1"

原键值: 字串: "Command"="%SystemRoot%\\system32\\rundll32.exe %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.exe\\

新建键值: 字串: "@"="winfiles"

原键值: 字串: "@"="exefile"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.lnk\\ShellNew\\

新建键值: 字串: "Command "=" appwiz.cpl,NewLinkHere %1"

原键值: 字串: "Command "="rundll32.exe appwiz.cpl,NewLinkHere %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Applications

\\iexplore.exe\\shell\\open\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\" %1"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{871C5380-42A0-1069-A2EA-08002B30309D}\\shell\\OpenHomePage\\Command\\

新建键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\""

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\cplfile\\shell\\cplopen\\command\\

新建键值: 字串: "@"=" shell32.dll,Control_RunDLL "%1",%*"

原键值: 字串: "@"="rundll32.exe shell32.dll,Control_RunDLL "%1",%*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Drive\\shell\\find\\command\\

新建键值: 字串: "@"="%SystemRoot%\\"

原键值: 字串: "@"="%SystemRoot%\\Explorer.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\dunfile\\shell\\open\\command\\

新建键值: 字串: "@"="%SystemRoot%\\system32\ETSHELL.DLL,InvokeDunFile %1"

原键值: 字串: "@"="%SystemRoot%\\system32\\RUNDLL32.EXE NETSHELL.DLL, InvokeDunFile

%1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\ftp\\shell\\open\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\" %1"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\open\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\" -nohome"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\opennew\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\common~1\\iexplore.pif" %1"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\print\\command\\

新建键值: 字串: "@"=" %SystemRoot%\\system32\\ mshtml.dll,PrintHTML "%1""

原键值: 字串: "@"="rundll32.exe %SystemRoot%\\system32\\mshtml.dll,PrintHTML "%1"".

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\HTTP\\shell\\open\\command\\

新建键值: 字串: "@"=""C:\\Program Files\\common~1\\iexplore.pif" -nohome"

原键值: 字串: "@"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\inffile\\shell\\Install\\command\\

新建键值: 字串: "@"="%SystemRoot%\\System32\\ setupapi,InstallHinfSection DefaultInstall 132 %1"

原键值: 字串: "@"="%SystemRoot%\\System32\\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

相关资料

落雪木马,是有大约14个文件组成的庞大的木马病毒文件队伍,一旦中毒,病毒文件就象落雪一样哗哗下到电脑中,这也是如此命名它的原因 你找不到pagefile等2个文件,这不能证明没有落雪木马 但从你描述的状况看,没有任何能够证明有落雪木马的迹象,比如,除了winlogon.exe,落雪木马主程序也可能是lsass.exe也可能是smss.exe这三个程序的伪装。但你说只有一个winlogon.exe,应该不是落雪 能插入winlogon.exe进程的木马也有很多,都可能会修改注册表,这个症状也同样不能证明是落雪。而且落雪木马不会添加网站到你的系统中 综合判断,你并非中了落雪木马 现在很多木马病毒都是一群一伙的进入用户系统,情况很复杂。你现在应该逐个搞清楚,我建议你下载一个HIJACKTHIS,扫描一个系统日志,发上来,这样的话就可以对你电脑的状况做个整体的和精确的分析,究竟哪里有问题,究竟中的什么毒。否则,象你现在的描述比较模糊,水平再高也没法判断。日志很重要 至于UPDATE,那是小问题,既可以手动升级,也可以用系统盘修复系统后再自动升级

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/22 14:15:54