Trojan-Spy.Win32.VB.gm病毒第一次運行時,在臨時資料夾中創建一個臨時檔案,檔案名稱是隨機的,添加註冊表啟動項,達到隨系統啟動的目的。病毒運行後嘗試竊取某些信息,傳送給作者。該病毒對用戶有一定的危害。
基本介紹
- 外文名:Trojan-Spy.Win32.VB.gm
- 病毒類型:木馬類
- 公開範圍:完全公開
- 危害等級:中
病毒名稱,病毒描述,清除方案,
病毒名稱
檔案 MD5: 001a2fa3b9f9bf75974f33db8097487b
檔案長度: 216026 位元組
感染系統: Windows9X以上版本
開發工具: Visual Basic 5.0 - 6.0
加殼類型: UPX
命名對照: Symentec[W32.Pinfi]
Mcafee[W32/Pate.b]
病毒描述
行為分析:
1、病毒第一次運行時,在% Documents and Settings % \admin\Local Settings\Temp中創建一個臨時檔案,檔案名稱是隨機的。例如:com32.tmp
2、修改註冊表,添加註冊表啟動項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:“mServer”="(病毒所在路徑)"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache
鍵值:字串:“(病毒所在路徑)”=""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\
鍵值:字串:“”= "Microsoft WinSock Control, version 6.0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
鍵值:字串:“ThreadingModel”="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus\1
鍵值:字串:“”="132497"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus
鍵值:字串“”="0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\ProgID\
鍵值:字串:“”="MSWinsock.Winsock.1"
註:% Documents and Settings %是一個可變路徑。作業系統中默認的安裝路C:\ Documents and Settings 。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:“mServer”="(病毒所在路徑)"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
鍵值:字串:“(病毒所在路徑)”="www."
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\
鍵值:字串:“”= "Microsoft WinSock Control, version 6.0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC0080C7E7B78D}\InprocServer32
鍵值:字串:“ThreadingModel”="Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus\1
鍵值:字串:“”="132497"|
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\MiscStatus
鍵值:字串“”="0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\ProgID\
鍵值:字串:“”="MSWinsock.Winsock.1"
