Harm.Win32.VB.n

危險等級：★★★

病毒名稱：Harm.Win32.VB.n

截獲時間：2007-12-23

入庫版本：20.23.62

類型：病毒

感染的作業系統：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威脅情況：

傳播級別：中

清除難度：中

破壞力：中

破壞手段：破壞應用程式、感染腳本檔案、下載病毒程式

病毒運行後首先把自己複製到System32資料夾下，添加以下註冊表值實現自啟動：

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run

Winstary = C:\WINDOWS\system32\SDGames.exe

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows

load = C:\WINDOWS\system32\SDGames.exe

run = C:\WINDOWS\system32\SDGames.exe

執行以下CMD命令實現關閉防火牆等功能

sc config winmgmt start= AUTO & net start winmgmt & quit

sc config lanmanserver start= AUTO & net start lanmanserver & quit

sc config Alg Start= disabled & net stop Alg

sc config sharedaccess Start= disabled & net stop sharedaccess

釋放腳本檔案Taskeep.vbs,該腳本每隔2秒查找進程中是否存在病毒進程,如果沒有則重新運行病毒程式.查找網路共享磁碟，如果找到把自己複製到該資料夾命名為xcopy.exe添autorun.inf檔案使得用戶打開磁碟時同時運行病毒。釋放netshare.cmd檔案，把用戶所有磁碟都改為共享磁碟。遍曆本機的腳本檔案和執行檔,對於腳本檔案，在其後面添加以下代碼src="http://zhidaobaidu.10mb.cn/",使得用戶運行腳本時打開該網頁；對於執行檔，病毒會把自己覆蓋到正常檔案，使得正常執行檔被破壞。病毒會把自己複製到本地所有磁碟中，添autorun.inf檔案使得用戶打開磁碟時同時運行病毒。從http://coolkiller.go1.icpcn.com/QQ.gif下載病毒程式。把系統時間的年份改為2030年,使得卡巴斯基防毒軟體失效.

然後修改以下註冊表鍵值實現禁用註冊表編輯器、任務管理器等功能

HKEY_CLASSES_ROOT\txtfile\shell\open\

Command = C:\WINDOWS\system32\SDGames.exe

HKEY_CLASSES_ROOT\regfile\shell\open\

Command = C:\WINDOWS\system32\SDGames.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

start page = wangma

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

start page = http://www.zhidaobaidu.10mb.cn/

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

default_page_url = wangma

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

default_page_url = wangma

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system

disabletaskmgr = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\policies\system

disableregistrytools = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Policies\Explorer

nosettaskbar = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

HideFileExt = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Hidden = 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\Folder\Hidden\SHOWALL

CheckedValue = 0

然後修改以下註冊表鍵值實現鏡像劫持,使得用戶運行以下程式時都會運行病毒程式:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\360rpt.exe\

Debugger = C:\WINDOWS\system32\SDGames.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Trojanwall.exe\

Debugger = C:\WINDOWS\system32\SDGames.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\KvReport.kxp\

Debugger = C:\WINDOWS\system32\SDGames.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\QQ.exe\

Debugger = C:\WINDOWS\system32\SDGames.exe

最後釋放Avpser.cmd檔案,該程式遍歷進程查找進程中是否存在以下反病毒軟體進程,如果存在則結束該進程:

RavMonD.exe RavStub.exe avp.exe 360safe.exe

安全建議：

1 安裝正版防毒軟體、個人防火牆和卡卡上網安全助手,並及時升級，瑞星防毒軟體每天至少升級三次。

2 使用“瑞星系統安全漏洞掃描”，打好補丁，彌補系統漏洞。

3 不瀏覽不良網站，不隨意下載安裝可疑外掛程式。

4 不接收QQ、MSN、Emial等傳來的可疑檔案。

5 上網時打開防毒軟體實時監控功能。

6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險柜”中，可以有效保護密碼安全。

清除辦法：

瑞星防毒軟體清除辦法：

安裝瑞星防毒軟體，升級到20.23.62版以上，對電腦進行全盤掃描，按照軟體提示進行操作，即可徹底查殺。