該病毒屬木馬類,病毒圖示為淡藍色包裝盒圖示,名稱為“郵址大全解壓包.exe”用以迷 惑用戶點擊運行。病毒運行後彈出對話框,在敏感區域複製自身生成大量病毒檔案;在啟動檔案 夾添加病毒檔案,點擊確定後自動註銷,實現註銷後啟動;將螢幕保護檔案更改為病毒檔案,修 改螢幕保護時間為1分鐘,使病毒具有較強的隱蔽性;將任務管理器檔案替換為病毒檔案,使用戶 無法使用任務管理器結束病毒進程,在用戶打開任務管理器時,實際上激活的是病毒;修改註冊 表,添加啟動項、創建服務,以達到隨機啟動的目的。
基本介紹
- 中文名:Trojan.Win32.QiaoZhaz.c
- 公開範圍:完全公開
- 檔案長度:446,303位元組
- 開發工具:Microsoft Visual C++ 6.0
病毒檔案,病毒危害,危害等級,感染系統,病毒描述,行為分析,清除方案,
病毒檔案
病毒名稱: Trojan.Win32.QiaoZhaz.c
病毒類型: 木馬
檔案 MD5: 6f904cd896df07bf731663537753449
加殼類型 : 無
病毒危害
危害等級
5
感染系統
Win95 Win98 Win2000 WinXP等系統
病毒描述
關聯,打開任意該格式檔案都將打開病毒檔案。在每次開機時彈出系統提示,病毒運行時彈出注
銷提示,提示內容相同用以對用戶進行敲詐勒索,並刪除非系統盤的檔案。
行為分析
1 、 病毒運行後複製自身到 %system32% 及相關資料夾下
%system32% 飛越星球 .scr
%system32%\dllcash\taskmgr.exe
%system32%\taskmgr.exe
C:\Documents and Settings\All Users\Application Data\
Microsoft\win1ogon.exe
C:\Documents and Settings\Administrator\ 「開始」選單 \ 程式 \
啟動 \svchost.exe
2 、 修改註冊表 , 添加啟動項 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : " svchost.exe "="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
3 、 修改註冊表 , 創建服務 :
服務名稱:WINS (服務名後面有3個空格)
服務描述:WINS為客戶提供系統域名解析服務
啟動方式:自動
4 、 修改螢幕保護檔案,及啟動時間:
HKEY_CURRENT_USER\Control Panel\Desktop
鍵值 : 字串 : " SCRNSAVE.EXE "="%windir%\system32\ 飛越星球 .scr"
HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveTimeOut
新: 字元串 : "60"
舊: 字元串: "900"
5 、通過註冊表對“資料夾選項”和其相關設定進行更改
刪除如下項,刪除“資料夾選項”中的“顯示隱藏檔案”選項,實現隱藏
具有隱藏檔案屬性的檔案並鎖定:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue
鍵值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\HelpID
鍵值 : 字元串 : "shell.hlp#51105"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\HKeyRoot
鍵值 : DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\RegPath
鍵值 : 字元串 : "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Text
鍵值 : 字元串 : " 顯示所有檔案和資料夾 "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Type
鍵值 : 字元串 : "radio"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ValueName
鍵值 : 字元串 : "Hidden"
修改如下項 , 隱藏系統檔案和已知檔案的擴展名和 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新 : DWORD: 2 (0x2)
舊 : DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
新 : DWORD: 1 (0x1)
舊 : DWORD: 0 (0)
創建如下項禁用 “ 資料夾選項 ”: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
鍵值: DWORD: 1 (0x1)
6 、 修改txt檔案的檔案關聯,更改為病毒檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
鍵值 : 字串 : @="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
7 、 將任務管理器檔案替換為病毒檔案,使用戶無法使用任務管理器結束病毒進程,同時運行
病毒檔案,是感染機器恢復到被病毒感染的初始狀態,使用戶對病毒的處理前功盡棄。
8 、創建系統提示,在每次開機時彈出用以對用戶進行敲詐勒索。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticecaption
新建鍵值: 字串: "警告:"
原鍵值: <未設定鍵值> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticetext
新建鍵值 : 字串 : " 發現您硬碟內曾使用過盜版了的我公司軟體 ,所以將您部份檔案移到鎖定了的扇區 , 若要解鎖將檔案釋放 , 請電郵"
原鍵值: <未設定鍵值>
註: %system32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 windows 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt , windows95/98/me/xp 中默認的安裝路徑是 C:\Windows 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 啟動安天木防線的進程管理關閉病毒進程:
win1ogon.exe <路徑:C:\Documents and Settings\All Users\ApplicationData\Microsoft\win1ogon.exe>
svchost.exe <路徑:C:\Documents and Settings\Administrator\「開始」選單\程式\啟動\svchost.exe>
(2) 刪除病毒檔案:
%system32%飛越星球.scr
%system32%\dllcash\taskmgr.exe
%system32%\taskmgr.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\Administrator\「開始」選單\程式\啟動\svchost.exe
(3) 將taskmgr.exe檔案複製到C:\windows\system32目錄下。
