“Trojan.Win32.VB.aec”的意思、由来-中文百科全书

基本情况

病毒名称： Trojan.Win32.VB.aec

中文名称：木马

病毒类型：中

文件 MD5： 0123C51819C1C1DDAE39721C2B21401C

公开范围：完全公开

危害等级：高

文件长度： 17,502 字节

感染系统： Win9x以上所有版本

开发工具： VB6.0

加壳类型： NSPack

命名对照： Symentec[无]

Mcafee[无]

病毒描述

运行此病毒后，病毒会把自己复制多份到％system％、%windir%等目录下。然后把自己添加到注册表启动项使自己随系统启动。还会修改多处关联文件和一些其它的关联,使得在清除时不好修复.其放出的文件都是隐藏文件.中些木马用户很难彻底清除。此木马与Trojan-PSW.Win32.Lmir.anb传奇木马相似。

行为分析

添加注册表启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run

添加键：Torjan Program

键值："C:\\WINNT\\smss.exe

修改文件关联

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.bfc

\\ShellNew\\Command

原来的: %SystemRoot%\\system32\\rundll32.exe

%SystemRoot%system32

\\syncui.dll,Briefcase_Cr eate %2!d! %1"

修改后:"%SystemRoot%\\system32\\rundll32.%SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.exe\\@

修改后: "winfiles"

原来的: "exefile"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.lnk\\ShellNew\\Command

修改后: "rundll32. appwiz.cpl,NewLinkHere %1"

原来的: "rundll32.exe appwiz.cpl,NewLinkHere %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Applications

\\iexplore.exe\\shell\\open\\command\\@

修改后: ""C:\\Program Files\\Internet Explorer

\\iexplore. %1"

原来的: ""C:\\Program Files\\Internet Explorer

\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{871C5380-42A0-1069-A2EA-08002B30309D}\\shell

\\OpenHomePage\\Command\\@

修改后: ""C:\\Program Files\\Internet Explorer

\\iexplore ""

原来的: ""C:\\Program Files\\Internet Explorer

\\iexplore.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\cplfile

\\shell\\cplopen\\command\\@

修改后: "rundll32 shell32.dll,Control_RunDLL %1,%*"

原来的: "rundll32.exe shell32.dll,Control_RunDLL %1,%*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Drive

\\shell\\find\\command\\@

修改后: "%SystemRoot%\\explorer. "

原来的: "%SystemRoot%\\explorer.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\dunfile

\\shell\\open\\command\\@

修改后: "%SystemRoot%\\system32\\rundll32.

NETSHELL.DLL,InvokeDunFile %1"

原来的: "%SystemRoot%\\system32\\rundll32

NETSHELL.DLL,InvokeDunFile %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\file

\\shell\\open\\command\\@

修改后: "rundll32 url.dll,FileProtocolHandler %l"

原来的: "rundll32.exe url.dll,FileProtocolHandler %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\ftp

\\shell\\open\\command\\@

修改后: ""C:\\Program Files\\Internet Explorer

\\iexplore " %1"

原来的: ""C:\\Program Files\\Internet Explorer

\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile

\\shell\\open\\command\\@

修改后: ""C:\\Program Files\\Internet Explorer

\\iexplore " -nohome"

原来的: ""C:\\Program Files\\Internet Explorer

\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile

\\shell\\opennew\\command\\@

修改后: ""C:\\Program Files\\common~1

\\iexplore.pif""

原来的: ""C:\\Program Files\\Internet Explorer

\\iexplore.exe"""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile

\\shell\\print\\command\\@

修改后: "rundll32 %SystemRoot%\\System32

\\mshtml.dll,PrintHTML "%1""

原来的: "rundll32 %SystemRoot%\\System32

\\mshtml.dll,PrintHTML "%1""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\http

\\shell\\open\\command\\@

修改后: ""C:\\Program Files\\common~1

\\iexplore.pif" -nohome"

原来的: ""C:\\Program Files\\Internet Explorer

\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\inffile

\\shell\\Install\\command\\@

修改后: "%SystemRoot%\\System32\\rundll32

setupapi,InstallHinfSection

DefaultInstall 132 %1"

原来的: "%SystemRoot%\\System32\\rundll32.exe

setupapi,InstallHinfSection

DefaultInstall 132 %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\InternetShortcut

\\shell\\open\\command\\@

修改后: "shdocvw.dll,OpenURL %l"

原来的: "rundll32.exe shdocvw.dll,OpenURL %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scrfile

\\shell\\install\\command\\@

修改后: " desk.cpl,InstallScreenSaver %l"

原来的: "rundll32.exe desk.cpl,InstallScreenSaver %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scriptletfile

\\Shell\\Generate Typelib\\command\\@

修改后: ""C:\\WINNT\\System32\\"

C:\\WINNT\\System32\\scrobj.dll,GenerateTypeLib "%1""

原来的: ""C:\\WINNT\\System32\\RUNDLL32.EXE"

C:\\WINNT\\System32\\scrobj.dll,GenerateTypeLib "%1""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\telnet

\\shell\\open\\command\\@

修改后: " url.dll,TelnetProtocolHandler %l"

原来的: "rundll32.exe url.dll,TelnetProtocolHandler %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Unknown

\\shell\\openas\\command\\@

修改后: "%SystemRoot%\\system32\\

%SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

原来的: "%SystemRoot%\\system32

%SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\SharedTools

\\MSInfo\\ToolSets\\MSInfo\\hdwwiz\\command

修改后: "C:\\WINNT\\System32\\command.pif"

原来的: "C:\\WINNT\\System32\\rundll32.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT

\\CurrentVersion\\Winlogon\\Shell

修改后: "Explorer.exe 1"

原来的: "Explorer.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\DefaultIcon\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\DefaultIcon\\@

值: 字符串: "%1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\Open\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\Open\\Command\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\Open\\Command\\@

值: 字符串: "C:\\WINNT\\ExERoute.exe "%1" %*"

释放文件

%windir%下释放5个隐藏文件

exeroute.exe

explorer

smss.exe

大小: 17,502

系统属性:隐藏\\只读

%system%下释放6个隐藏文件

command.pif

rundll32

大小: 17,502

大小: 17,502 系统属性:隐藏\\只读

系统属性:隐藏\\只读

Program Files\\Internet Explorer下释放1个隐藏文件

Iexplore 大小: 17,502 系统属性:隐藏\\只读

Program Files\\Common Files下释放1个隐藏文件

Iexplore 大小: 17,502 系统属性:隐藏\\只读

%windir%Debug下释放1个隐藏文件

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

词条	Trojan.Win32.VB.aec
释义	Trojan.Win32.VB.aec 一种木马病毒，中型病毒，它还会修改多处关联文件和一些其它的关联,使得在清除时不好修复.其放出的文件都是隐藏文件.中些木马用户很难彻底清除。此木马与Trojan-PSW.Win32.Lmir.anb传奇木马相似。基本情况病毒描述行为分析(添加注册表启动项修改文件关联释放文件清除方案) 基本情况病毒名称： Trojan.Win32.VB.aec 中文名称：木马病毒类型：中文件 MD5： 0123C51819C1C1DDAE39721C2B21401C 公开范围：完全公开危害等级：高文件长度： 17,502 字节感染系统： Win9x以上所有版本开发工具： VB6.0 加壳类型： NSPack 命名对照： Symentec[无] Mcafee[无] 病毒描述运行此病毒后，病毒会把自己复制多份到％system％、%windir%等目录下。然后把自己添加到注册表启动项使自己随系统启动。还会修改多处关联文件和一些其它的关联,使得在清除时不好修复.其放出的文件都是隐藏文件.中些木马用户很难彻底清除。此木马与Trojan-PSW.Win32.Lmir.anb传奇木马相似。行为分析添加注册表启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run 添加键：Torjan Program 键值："C:\\WINNT\\smss.exe 修改文件关联 HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.bfc \\ShellNew\\Command 原来的: %SystemRoot%\\system32\\rundll32.exe %SystemRoot%system32 \\syncui.dll,Briefcase_Cr eate %2!d! %1" 修改后:"%SystemRoot%\\system32\\rundll32.%SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.exe\\@ 修改后: "winfiles" 原来的: "exefile" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.lnk\\ShellNew\\Command 修改后: "rundll32. appwiz.cpl,NewLinkHere %1" 原来的: "rundll32.exe appwiz.cpl,NewLinkHere %1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Applications \\iexplore.exe\\shell\\open\\command\\@ 修改后: ""C:\\Program Files\\Internet Explorer \\iexplore. %1" 原来的: ""C:\\Program Files\\Internet Explorer \\iexplore.exe" %1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID \\{871C5380-42A0-1069-A2EA-08002B30309D}\\shell \\OpenHomePage\\Command\\@ 修改后: ""C:\\Program Files\\Internet Explorer \\iexplore "" 原来的: ""C:\\Program Files\\Internet Explorer \\iexplore.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\cplfile \\shell\\cplopen\\command\\@ 修改后: "rundll32 shell32.dll,Control_RunDLL %1,%" 原来的: "rundll32.exe shell32.dll,Control_RunDLL %1,%" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Drive \\shell\\find\\command\\@ 修改后: "%SystemRoot%\\explorer. " 原来的: "%SystemRoot%\\explorer.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\dunfile \\shell\\open\\command\\@ 修改后: "%SystemRoot%\\system32\\rundll32. NETSHELL.DLL,InvokeDunFile %1" 原来的: "%SystemRoot%\\system32\\rundll32 NETSHELL.DLL,InvokeDunFile %1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\file \\shell\\open\\command\\@ 修改后: "rundll32 url.dll,FileProtocolHandler %l" 原来的: "rundll32.exe url.dll,FileProtocolHandler %l" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\ftp \\shell\\open\\command\\@ 修改后: ""C:\\Program Files\\Internet Explorer \\iexplore " %1" 原来的: ""C:\\Program Files\\Internet Explorer \\iexplore.exe" %1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile \\shell\\open\\command\\@ 修改后: ""C:\\Program Files\\Internet Explorer \\iexplore " -nohome" 原来的: ""C:\\Program Files\\Internet Explorer \\iexplore.exe" -nohome" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile \\shell\\opennew\\command\\@ 修改后: ""C:\\Program Files\\common~1 \\iexplore.pif"" 原来的: ""C:\\Program Files\\Internet Explorer \\iexplore.exe""" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile \\shell\\print\\command\\@ 修改后: "rundll32 %SystemRoot%\\System32 \\mshtml.dll,PrintHTML "%1"" 原来的: "rundll32 %SystemRoot%\\System32 \\mshtml.dll,PrintHTML "%1"" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\http \\shell\\open\\command\\@ 修改后: ""C:\\Program Files\\common~1 \\iexplore.pif" -nohome" 原来的: ""C:\\Program Files\\Internet Explorer \\iexplore.exe" -nohome" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\inffile \\shell\\Install\\command\\@ 修改后: "%SystemRoot%\\System32\\rundll32 setupapi,InstallHinfSection DefaultInstall 132 %1" 原来的: "%SystemRoot%\\System32\\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\InternetShortcut \\shell\\open\\command\\@ 修改后: "shdocvw.dll,OpenURL %l" 原来的: "rundll32.exe shdocvw.dll,OpenURL %l" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scrfile \\shell\\install\\command\\@ 修改后: " desk.cpl,InstallScreenSaver %l" 原来的: "rundll32.exe desk.cpl,InstallScreenSaver %l" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scriptletfile \\Shell\\Generate Typelib\\command\\@ 修改后: ""C:\\WINNT\\System32\\" C:\\WINNT\\System32\\scrobj.dll,GenerateTypeLib "%1"" 原来的: ""C:\\WINNT\\System32\\RUNDLL32.EXE" C:\\WINNT\\System32\\scrobj.dll,GenerateTypeLib "%1"" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\telnet \\shell\\open\\command\\@ 修改后: " url.dll,TelnetProtocolHandler %l" 原来的: "rundll32.exe url.dll,TelnetProtocolHandler %l" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Unknown \\shell\\openas\\command\\@ 修改后: "%SystemRoot%\\system32\\ %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1" 原来的: "%SystemRoot%\\system32 %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\SharedTools \\MSInfo\\ToolSets\\MSInfo\\hdwwiz\\command 修改后: "C:\\WINNT\\System32\\command.pif" 原来的: "C:\\WINNT\\System32\\rundll32.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT \\CurrentVersion\\Winlogon\\Shell 修改后: "Explorer.exe 1" 原来的: "Explorer.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\DefaultIcon\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\DefaultIcon\\@ 值: 字符串: "%1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles \\Shell\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles \\Shell\\Open\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles \\Shell\\Open\\Command\\ HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles \\Shell\\Open\\Command\\@ 值: 字符串: "C:\\WINNT\\ExERoute.exe "%1" %*" 释放文件 %windir%下释放5个隐藏文件 exeroute.exe explorer smss.exe 大小: 17,502 大小: 17,502 大小: 17,502 大小: 17,502 大小: 17,502 系统属性:隐藏\\只读系统属性:隐藏\\只读系统属性:隐藏\\只读系统属性:隐藏\\只读 %system%下释放6个隐藏文件 command.pif rundll32 大小: 17,502 大小: 17,502 大小: 17,502 大小: 17,502 大小: 17,502 大小: 17,502 系统属性:隐藏\\只读系统属性:隐藏\\只读系统属性:隐藏\\只读系统属性:隐藏\\只读系统属性:隐藏\\只读系统属性:隐藏\\只读 Program Files\\Internet Explorer下释放1个隐藏文件 Iexplore 大小: 17,502 系统属性:隐藏\\只读 Program Files\\Common Files下释放1个隐藏文件 Iexplore 大小: 17,502 系统属性:隐藏\\只读 %windir%Debug下释放1个隐藏文件注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。清除方案 1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
随便看	魏晋世语魏晋书法魏晋文风魏晋文化魏晋玄学魏晋玄学与玄言诗研究魏晋原来是这样魏晋禅让魏晶琦魏景湣王魏景波魏景超魏景芳魏景赋魏景山魏景舒魏景文魏景艳魏景洲魏静魏静华魏静宜魏敬华魏敬先魏敬益