“Worm.Win32.Rabbit.a”的意思、由来-中文百科全书

概述

病毒名称： Worm.Win32.Rabbit.a

中文名称：兔子

病毒类型：蠕虫类

文件 MD5： c1d4ed9b369d8f37743d42105d716a5b

公开范围：完全公开

危害等级： 5

文件长度：加壳后 195,313 字节，脱壳后446,464 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳类型： RLPack

行为分析

1 、衍生病毒文件到下列目录：

[DriveLetter]\\1.exe

[DriveLetter]\\1.txt

[DriveLetter]\\AutoRun.inf

[DriveLetter]\\Rabbit.exe

%WinDir%\\GHO.bat

%WinDir%\\GHO.inf

%WinDir%\\ILTZ.bat

%WinDir%\\ILTZ.inf

%WinDir%\\IOTZ.bat

%WinDir%\\IOTZ.inf

%System32%\\JK~.exe

%System32%\\loveRabbit~.exe

%System32%\\msexch400.dll

%System32%\\Rabbit.exe

2 、新建下列注册表键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ActiveSetup\\InstalledComponents\\

{ 4bf41072-b2b1-21c1-b5c1-0305f4155515 }\\StubPath

Value: String: "%WinDir\\system32\\JK~.exe"

3 、删除下列注册表键值：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

InternetSettings\\5.0\\Cache\\Extensible Cache\\

MSHist012007041020070411\\CachePrefix

Value: String: ":2007041020070411: "

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\

Internet Settings\\5.0\\Cache\\Extensible Cache\\

MSHist012007041020070411\\CacheRepair

Value: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\

Minimal\\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\\@

Value: String: "DiskDrive"

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\

Network\\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\\@

Value: String: "DiskDrive"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\

Minimal\\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\\@

Value: String: "DiskDrive"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\

Network\\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\\@

Value: String: "DiskDrive"

4 、病毒调用下列 .bat 及 .inf 文件，遍历 ProgramFiles 目录，搜索 .EXE 文件，替换为

病毒副本 , 同时搜索 .GHO 文件，替换为病毒副本，以防止用户恢复备份。

%WinDir%\\GHO.bat

%WinDir%\\GHO.inf

%WinDir%\\ILTZ.bat

%WinDir%\\ILTZ.inf

%WinDir%\\IOTZ.bat

%WinDir%\\IOTZ.inf

5 、由于病毒替换掉正常可执行程序，原有程序正常关联仍存在，所以，当用户调用正常程序时，

如 IE ，即可能触发病毒体。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

--------------------------------------------------------------------------------

清除方案

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用安天木马防线断开网络，结束病毒进程：

%System32%\\loveRabbit~.exe

使用安天木马防线进程管理功能摘除 winlogon.exe 中的

msexch400.dll 文件 .

(2) 删除病毒释放文件：

[DriveLetter]\\1.exe

[DriveLetter]\\1.txt

[DriveLetter]\\AutoRun.inf

[DriveLetter]\\Rabbit.exe

%WinDir%\\GHO.bat

%WinDir%\\GHO.inf

%WinDir%\\ILTZ.bat

%WinDir%\\ILTZ.inf

%WinDir%\\IOTZ.bat

%WinDir%\\IOTZ.inf

%System32%\\JK~.exe

%System32%\\loveRabbit~.exe

%System32%\\msexch400.dll

%System32%\\Rabbit.exe

(3)建议用 Windows 系统光盘恢复 Windows 文件，使用安天木马防线

扫描全盘。

词条	Worm.Win32.Rabbit.a
释义	该病毒运行后，连接网络下载病毒体到本机运行。衍生病毒副本到系统目录，添加注册表IE 扩展项以跟随IE启动。插入病毒线程到Winlogon进程中，不断检测病毒进程是否存在，如无则创建。并禁用掉注册表，查寻不利病毒程序予以关闭，例如gpedit.msc。遍历ProgramFiles目录，替换扩展名为.EXE的文件为病毒副本。概述行为分析清除方案概述病毒名称： Worm.Win32.Rabbit.a 中文名称：兔子病毒类型：蠕虫类文件 MD5： c1d4ed9b369d8f37743d42105d716a5b 公开范围：完全公开危害等级： 5 文件长度：加壳后 195,313 字节，脱壳后446,464 字节感染系统： Win9X以上系统开发工具： Microsoft Visual Basic 5.0 / 6.0 加壳类型： RLPack 行为分析 1 、衍生病毒文件到下列目录： [DriveLetter]\\1.exe [DriveLetter]\\1.txt [DriveLetter]\\AutoRun.inf [DriveLetter]\\Rabbit.exe %WinDir%\\GHO.bat %WinDir%\\GHO.inf %WinDir%\\ILTZ.bat %WinDir%\\ILTZ.inf %WinDir%\\IOTZ.bat %WinDir%\\IOTZ.inf %System32%\\JK~.exe %System32%\\loveRabbit~.exe %System32%\\msexch400.dll %System32%\\Rabbit.exe 2 、新建下列注册表键值： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ActiveSetup\\InstalledComponents\\ { 4bf41072-b2b1-21c1-b5c1-0305f4155515 }\\StubPath Value: String: "%WinDir\\system32\\JK~.exe" 3 、删除下列注册表键值： HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ InternetSettings\\5.0\\Cache\\Extensible Cache\\ MSHist012007041020070411\\CachePrefix Value: String: ":2007041020070411: " HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Internet Settings\\5.0\\Cache\\Extensible Cache\\ MSHist012007041020070411\\CacheRepair Value: DWORD: 0 (0) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\ Minimal\\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\\@ Value: String: "DiskDrive" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\ Network\\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\\@ Value: String: "DiskDrive" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\ Minimal\\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\\@ Value: String: "DiskDrive" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\ Network\\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\\@ Value: String: "DiskDrive" 4 、病毒调用下列 .bat 及 .inf 文件，遍历 ProgramFiles 目录，搜索 .EXE 文件，替换为病毒副本 , 同时搜索 .GHO 文件，替换为病毒副本，以防止用户恢复备份。 %WinDir%\\GHO.bat %WinDir%\\GHO.inf %WinDir%\\ILTZ.bat %WinDir%\\ILTZ.inf %WinDir%\\IOTZ.bat %WinDir%\\IOTZ.inf 5 、由于病毒替换掉正常可执行程序，原有程序正常关联仍存在，所以，当用户调用正常程序时，如 IE ，即可能触发病毒体。注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 ， windows95/98/me 中默认的安装路径是 C:\\Windows\\System ， windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 -------------------------------------------------------------------------------- 清除方案 1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1)使用安天木马防线断开网络，结束病毒进程： %System32%\\loveRabbit~.exe 使用安天木马防线进程管理功能摘除 winlogon.exe 中的 msexch400.dll 文件 . (2) 删除病毒释放文件： [DriveLetter]\\1.exe [DriveLetter]\\1.txt [DriveLetter]\\AutoRun.inf [DriveLetter]\\Rabbit.exe %WinDir%\\GHO.bat %WinDir%\\GHO.inf %WinDir%\\ILTZ.bat %WinDir%\\ILTZ.inf %WinDir%\\IOTZ.bat %WinDir%\\IOTZ.inf %System32%\\JK~.exe %System32%\\loveRabbit~.exe %System32%\\msexch400.dll %System32%\\Rabbit.exe (3)建议用 Windows 系统光盘恢复 Windows 文件，使用安天木马防线扫描全盘。
随便看	暗影之刃暗影之王暗影治疗者护腕暗影主宰之靴暗影爪暗影追击暗影追击续暗影追寻者坠饰暗影罪罚暗影镯暗庸暗幽幽暗愚暗鱼泉暗御特使暗欲暗渊王侯暗月传说暗月传说之迷途暗月法杖暗月火瞳暗月利斧暗月匕首暗噪声暗泽湖