扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、病毒标签:
病毒名称: Worm.Win32.VB.fw
病毒类型:蠕虫类
文件 MD5: 34325CFF53C99D28C42A262D1B5708B7
公开范围: 完全公开
文件长度: 94,208 字节
感染系统: Windows98以上版本
开发工具: MicrosoftVisual Basic5.0 / 6.0
加壳类型:无
二、病毒描述:
该病毒为蠕虫类,病毒运行后复制自身到系统目录,衍生病毒文件。 修改注册表,添加启动项,以达到随机启动的目的。该病毒通过移动存储介质、 恶意网站、其它病毒 /木马下载大面积传播;由于其隐藏了自身的副本文件,而且具有多种启动方式,所以对其清除具有一定的难度,因此该病毒的生存期会具有在很长的时间。该病毒会盗取用户银行帐号密码等敏感信息。
三、行为分析:
1、 文件运行后会衍生以下文件
(1)在系统System32目录下建立副本如下:
%System32%\systeminit.exe 94,208字节
%System32%\wininit.exe 94,208字节
%System32%\winsystem.exe 94,208字节
(2)在各个驱动器盘符下释放启动文件autorun.inf并新建对应的可执行文件:
%DriveLetter%\autorun.inf
%DriveLetter%\kerneldrive.exe
2、 新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:" wininit "
类型: REG_SZ
值: " C:\WINDOWS\system32\wininit.exe "
描述:添加启动项,以达到随机启动的目的
3、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
新建键值:字串:" Userinit "=" C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ systeminit.exe,"
原键值:字串:" Userinit "=" C:\WINDOWS\system32\userinit.exe,"
描述:添加启动项,以达到随机启动的目的
4、修改注册表,使隐藏文件不可见:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新: 字符串: "1"
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
新: 字符串: "1"
旧: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
新: 字符串: "1"
旧: DWORD: 0 (0)
5、新建注册表键值,使“文件夹选项…”不可见:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
键值: DWORD: 1 (0x1)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
键值: DWORD: 1 (0x1)
6、连接网络下载大量病毒相关文件,以更新病毒文件和下载其它病毒体
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录]
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32.
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com .
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm.
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
(2) 强行删除病毒文件
%System32%\systeminit.exe
%System32%\wininit.exe
%System32%\winsystem.exe
%DriveLetter%\autorun.inf
%DriveLetter%\kerneldrive.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项删除新建注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:" wininit "
类型: REG_SZ
值: " C:\WINDOWS\system32\wininit.exe "
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
键值: DWORD: 1 (0x1)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
键值: DWORD: 1 (0x1)
恢复修改注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
新建键值:字串:" Userinit "=" C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ systeminit.exe,"
原键值:字串:" Userinit "=" C:\WINDOWS\system32\userinit.exe," HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新: 字符串: "1"
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
新: 字符串: "1"
旧: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
新: 字符串: "1"
旧: DWORD: 0 (0)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。