| 词条 | Worm.Win32.VB.fu |
| 释义 | 该病毒属蠕虫类,病毒运行后衍生病毒文件到系统目录下,修改注册表,添加启动项,以达到随机启动的目的,修改系统时间,修改 IE 主页,病毒在每个盘符下新建一个 autorun.inf 文件,使用户双击盘符时自动运行病毒 病毒资料病毒名称: Worm.Win32.VB.fu 病毒类型: 蠕虫 文件 MD5: C98E7DA0F034B3F89D9D5F433B9E40AC 公开范围: 完全公开 危害等级: 5 文件长度: 19,892 字节 感染系统: Win98 以上系统 开发工具: Microsoft Visual Basic 5.0 / z6.0 加壳类型: NsPacK V3.7 病毒描述关闭 Cryptographic Services 服务;删除 GHO 文件;检测窗体标题栏中如果含有运行、文件夹选项则关闭窗体;尝试结束部分反毒软件的服务,修改文件 txt 、 ini 、 log 的文件关联,当用户试图运行 txt 、 ini 、 log 的文件时,病毒就会运行起来。修改部分正常程序的路径,当用户运行这些程序时,实际上运行的是病毒文件。 行为分析病毒行为1 、 病毒运行后衍生病毒文件: c:\\autorun.inf c:\\info.exe c:\\WINDOWS\\system32\\drivers\\IsDrv118.sys 中国网管联盟 c:\\WINDOWS\\system32\\drivers\\IsDrv120.sys 2 、 在每个盘符下创建 autorun.inf 和 info.exe 文件: D:\\autorun.inf C:\\autorun.inf E:\\autorun.inf C:\\autorun.inf F:\\autorun.inf C:\\autorun.inf G:\\autorun.inf C:\\autorun.inf H:\\autorun.inf C:\\autorun.inf I:\\autorun.inf C:\\autorun.inf J:\\autorun.inf C:\\autorun.inf K:\\autorun.inf C:\\autorun.inf L:\\autorun.inf C:\\autorun.inf M:\\autorun.inf C:\\autorun.inf N:\\autorun.inf C:\\autorun.inf O:\\autorun.inf C:\\autorun.inf P:\\autorun.inf C:\\autorun.inf Q:\\autorun.inf C:\\autorun.inf R:\\autorun.inf C:\\autorun.inf 国内最早的网管网站 S:\\autorun.inf C:\\autorun.inf T:\\autorun.inf C:\\autorun.inf U:\\autorun.inf C:\\autorun.inf V:\\autorun.inf C:\\autorun.inf W:\\autorun.inf C:\\autorun.inf X:\\autorun.inf C:\\autorun.inf Y:\\autorun.inf C:\\autorun.inf Z:\\autorun.inf C:\\autorun.inf C:\\autorun.inf D:\\autorun.inf E:\\autorun.inf F:\\autorun.inf G:\\autorun.inf H:\\autorun.inf I:\\autorun.inf J:\\autorun.inf K:\\autorun.inf L:\\autorun.inf M:\\autorun.inf N:\\autorun.inf O:\\autorun.inf P:\\autorun.inf Q:\\autorun.inf R:\\autorun.inf S:\\autorun.inf T:\\autorun.inf U:\\autorun.inf blog. 网管博客等你来搏 V:\\autorun.inf W:\\autorun.inf X:\\autorun.inf Y:\\autorun.inf Z:\\autorun.inf C:\\info.exe D:\\info.exe E:\\info.exe F:\\info.exe G:\\info.exe H:\\info.exe I:\\info.exe J:\\info.exe K:\\info.exe L:\\info.exe M:\\info.exe N:\\info.exe O:\\info.exe P:\\info.exe Q:\\info.exe R:\\info.exe S:\\info.exe T:\\info.exe U:\\info.exe V:\\info.exe W:\\info.exe X:\\info.exe Y:\\info.exe Z:\\info.exe 3 、当用户双击磁盘盘符时,会自动运行病毒程序, autorun.inf 内容为: [AUTORUN] OPEN=info.exe shell\\open=Sb_(&O) shell\\open\\Command=info.exe shell\\open\\Default=1 blog. 网管博客等你来搏 Shellexecute=info.exe 4 、修改注册表,添加启动项,以达到随机启动的目的: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "B-A-I-D-U-C-O-M"="C:\\info.exe" 5 、修改注册表,使病毒文件 info.exe 随系统进程 Explorer.exe 一同启动: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 新建键值 : 字串 : "Shell"="Explorer.exe" 原键值 : 字串 : "Shell"="Explorer.exe C:\\info.exe" 6 、修改 IE 主页为百度: HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main 键值 : 字串 : "Start Page"="http://www. /" 7 、修改系统时间: 修改系统时间为: 1993 年 9 月 12 日 8 、 关闭 Cryptographic Services 服务: net stop Cryptographic Services Cryptographic Services 服务描述:提供三种管理服务 : 编录数据库服务,它确定 play. 了吗玩一下吧 Windows 文件的签字 ; 受保护的根服务,它从此计算机添加和删除受信根证书机构的 证书 ; 和密钥 (Key) 服务,它帮助注册此计算机获取证书。如果此服务被终止,这些 管理服务将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。 9 、搜索各盘符,删除 GHO 文件,使用户无法使用 GHO 文件恢复系统。 C:/*.*gho D:/*.*gho E:/*.*gho F:/*.*gho G:/*.*gho H:/*.*gho I:/*.*gho J:/*.*gho K:/*.*gho L:/*.*gho M:/*.*gho N:/*.*gho O:/*.*gho P:/*.*gho Q:/*.*gho R:/*.*gho S:/*.*gho T:/*.*gho U:/*.*gho V:/*.*gho W:/*.*gho X:/*.*gho Y:/*.*gho Z:/*.*gho 10 、检测窗体标题栏中如果含有运行、文件夹选项则关闭窗体: bitsCN全力打造网管学习平台 关闭窗口标题栏为运行、文件夹选项的窗体,使用户无法选择“显示所有隐藏的文件”, 无法使用运行窗口开启 cmd.exe 等程序。 11 、修改 ini 、 log 、 txt 文件关联、修改程序路径关联,当用户运行以下正常程序时, 打不开正常程序,且使病毒程序运行: avp.exe kwatch.exe ravmon.exe icesword.exe sreng.exe autorun.exe rfwmain.exe ccenter.exe notepad.exe mmc.exe cmd.exe taskmgr.exe setup.exe HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\autorun.exe 键值 : 字串 : "Debugger"="C:\\info.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\avp.exe 键值 : 字串 : "Debugger"="C:\\info.exe" blog. 网管博客等你来搏 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\ccenter.exe\\ 键值 : 字串 : “Debugger”=“C:\\info.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\cmd.exe\\ 键值 : 字串 : “Debugger”=“C:\\info.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\icesword.exe\\ 键值 : 字串 : “Debugger”=“C:\\info.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\kwatch.exe\\ 键值 : 字串 : “Debugger”=“C:\\info.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\mmc.exe\\ 键值 : 字串 : “Debugger”=“C:\\info.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ 关注网管是我们的使命 Image File Execution Options\otepad.exe\\ 键值 : 字串 : “Debugger”=“C:\\info.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\ravmon.exe\\ 键值 : 字串 : “Debugger”=“C:\\info.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\rfwmain.exe\\ 键值 : 字串 : “Debugger”=“C:\\info.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\setup.exe\\ 键值 : 字串 : “Debugger”=“C:\\info.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\sreng.exe\\ 键值 : 字串 : "Debugger"="C:\\info.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\syssafe.exe\\ play. 累了吗玩一下吧 键值 : 字串 : "Debugger"="C:\\info.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Image File Execution Options\\taskmgr.exe\\ 键值 : 字串 : "Debugger"="C:\\info.exe" 当用户运行 txt 、 ini 、 log 文件时,会激活病毒。 12 、 尝试结束以下反毒软件的服务、并禁止相关程序的运行: avp.exe ravmon.exe kwatch.exe icesword.exe sreng.exe autorun.exe rfwmain.exe ccenter.exe notepad.exe mmc.exe cmd.exe taskmgr.exe setup.exe 注% System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 www. 中国网管博客 -------------------------------------------------------------------------------- 清除方案安天木马防线1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 手工清除2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用 安天木马防线 “进程管理”关闭病毒进程 Syssafe.exe Info.exe (2) 删除病毒文件 c:\\autorun.inf c:\\info.exe c:\\WINDOWS\\system32\\drivers\\IsDrv118.sys c:\\WINDOWS\\system32\\drivers\\IsDrv120.sys x:\\autorun.inf x:\\info.exe 注: x:\\autorun.inf 中 x 代表能用盘符。 (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\ CurrentVersion\\Winlogon 新建键值 : 字串 : "Shell"="Explorer.exe" 原键值 : 字串 : "Shell"="Explorer.exe C:\\info.exe" 关注网管是我们的使命 HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "B-A-I-D-U-C-O-M"="C:\\info.exe" 在注册表中搜索 info.exe ,把搜索到的键值全部删除。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。