木马Worm.Win32.VB.fw分析与手动清除

一、病毒标签：

病毒名称： Worm.Win32.VB.fw

病毒类型：蠕虫类

文件 MD5： 34325CFF53C99D28C42A262D1B5708B7

公开范围： 完全公开

文件长度： 94，208 字节

感染系统： Windows98以上版本

开发工具： MicrosoftVisual Basic5.0 / 6.0

加壳类型：无

二、病毒描述：

该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件。 修改注册表，添加启动项，以达到随机启动的目的。该病毒通过移动存储介质、 恶意网站、其它病毒 /木马下载大面积传播；由于其隐藏了自身的副本文件，而且具有多种启动方式，所以对其清除具有一定的难度，因此该病毒的生存期会具有在很长的时间。该病毒会盗取用户银行帐号密码等敏感信息。

三、行为分析：

1、 文件运行后会衍生以下文件

（1）在系统System32目录下建立副本如下：

%System32%\systeminit.exe 94，208字节

%System32%\wininit.exe 94，208字节

%System32%\winsystem.exe 94，208字节

（2）在各个驱动器盘符下释放启动文件autorun.inf并新建对应的可执行文件：

%DriveLetter%\autorun.inf

%DriveLetter%\kerneldrive.exe

2、 新建注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

注册表值：" wininit "

类型： REG_SZ

值： " C：\WINDOWS\system32\wininit.exe "

描述：添加启动项，以达到随机启动的目的

3、修改注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

新建键值：字串：" Userinit "=" C：\WINDOWS\system32\userinit.exe，C：\WINDOWS\system32\ systeminit.exe，"

原键值：字串：" Userinit "=" C：\WINDOWS\system32\userinit.exe，"

描述：添加启动项，以达到随机启动的目的

4、修改注册表，使隐藏文件不可见：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

新： 字符串： "1"

旧： DWORD： 1 （0x1）

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

新： 字符串： "1"

旧： DWORD： 0 （0）

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

新： DWORD： 0 （0）

旧： DWORD： 1 （0x1）

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden

新： 字符串： "1"

旧： DWORD： 0 （0）

5、新建注册表键值，使“文件夹选项…”不可见：

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

键值： DWORD： 1 （0x1）

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

键值： DWORD： 1 （0x1）

6、连接网络下载大量病毒相关文件，以更新病毒文件和下载其它病毒体

注释：

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录]

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动系统所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% 当前用户TEMP缓存变量；路径为：

%Documents and Settings%\当前用户\Local Settings\Temp

%System32% 是一个可变路径；

病毒通过查询操作系统来决定当前System32文件夹的位置；

Windows2000/NT中默认的安装路径是　C：\Winnt\System32；

Windows95/98/Me中默认的安装路径是　C：\Windows\System；

WindowsXP中默认的安装路径是　C：\Windows\System32.

四、 清除方案：

1、使用安天木马防线可彻底清除此病毒（推荐），请到安天网站下载：www.antiy.com .

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址： www.antiy.com或http://www.antiy.com/download/index.htm.

（1） 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

（2） 强行删除病毒文件

%System32%\systeminit.exe

%System32%\wininit.exe

%System32%\winsystem.exe

%DriveLetter%\autorun.inf

%DriveLetter%\kerneldrive.exe

（3） 恢复病毒修改的注册表项目，删除病毒添加的注册表项删除新建注册表项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

注册表值：" wininit "

类型： REG_SZ

值： " C：\WINDOWS\system32\wininit.exe "

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

键值： DWORD： 1 （0x1）

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

键值： DWORD： 1 （0x1）

恢复修改注册表项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

新建键值：字串：" Userinit "=" C：\WINDOWS\system32\userinit.exe，C：\WINDOWS\system32\ systeminit.exe，"

原键值：字串：" Userinit "=" C：\WINDOWS\system32\userinit.exe，" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

新： 字符串： "1"

旧： DWORD： 1 （0x1）

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

新： 字符串： "1"

旧： DWORD： 0 （0）

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

新： DWORD： 0 （0）

旧： DWORD： 1 （0x1）

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden

新： 字符串： "1"

旧： DWORD： 0 （0）