被感染的tel.xls.exe运行后释放%System%\mmc.exe,覆盖系统“管理控制台”程序,这意味着系统的管理控制台无法打开,比如“计算机管理”、“服务”等。
病毒名称:Virus.Win32.Dzan.a(Kaspersky)
清除Virus.Win32.Dzan.a后:Trojan.Win32.VB.atg(Kaspersky)
病毒别名:Worm.Suser.a(瑞星)
病毒大小:110,592 字节
清除Virus.Win32.Dzan.a后:45,056 字节
加壳方式:N/A
样本MD5:3dc040cb3a352a8577f44a1ff8ef8ca8
样本SHA1:acf12d3a843126cc98efd9f8e77c1cf14b027a70
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它木马下载,可移动存储设备(如U盘、MP3、移动硬盘)
技术分析
==========
这个tel.xls.exe是CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的变种,行为较之更为恶劣,我们发现这个样本会感染其它exe文件,但是,经过分析发现此文件是被另外一个感染型病毒所感染,本身并不具备感染文件的行为。
tel.xls.exe原始文件大小为45056字节(Trojan.Win32.VB.atg),和CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的一样,运行后复制自身到系统目录:
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe
创建启动项:
[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
在每个驱动器根目录复制副本:
X:\tel.xls.exe
X:\autorun.inf
在系统目录创建autorun.inf的副本:
%Windows%\BACKINF.TAB
autorun.inf内容:
[Copy to clipboard]CODE:[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
tel.xls.exe每10秒从%Windows%\session.exe重写X:\tel.xls.exe,从%Windows%\BACKINF.TAB重写X:\autorun.inf。
修改注册表破坏“显示所有文件和文件夹”设置:
[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"
由于被病毒(Virus.Win32.Dzan.a)感染,导致它和之前变种CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464有较大的差别。
被感染的tel.xls.exe运行后释放%System%\mmc.exe,覆盖系统“管理控制台”程序,这意味着系统的管理控制台无法打开,比如“计算机管理”、“服务”等。
创建服务:
QUOTE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
显示名:Smart Card Supervisor
可执行文件的路径:%System%\mmc.exe
mmc.exe就是感染型文件的原程序,它常驻内存遍历目录感染exe文件,也包括系统文件,当系统文件被感染时系统会弹出“Windows文件保护”的对话框
mmc.exe大小61440字节,被感染exe文件增加大小61952字节,是mmc.exe自身大小再加512字节,被感染exe文件运行后会释放mmc.exe运行。
病毒文件如图:
清除步骤
==========
1. 结束病毒进程:
%System%\mmc.exe
X:\tel.xls.exe
%Windows%\svchost.exe
%System%\SocksA.exe
2. 删除病毒文件:
%Windows%\BACKINF.TAB
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe
%System%\mmc.exe
3. 通过磁盘驱动器右键菜单进入根目录:右键点击驱动器盘符,点击菜单中的“打开”进入驱动器根目录,删除根目录下的文件:
X:\autorun.inf
X:\tel.xls.exe
4. 删除病毒启动项和服务:
[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
5. 修改“显示所有文件和文件夹”设置,到注册表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1
6. 使用反病毒软件进行全盘扫描,清除被感染的exe文件
注:今天上午测试,Kaspersky(卡巴斯基)和瑞星(Rising)可以基本清除被感染exe文件
7. 从正常的相同的操作系统里复制%System%\mmc.exe,用以恢复系统“管理控制台”功能