Trojan.Win32.VB.aec

Trojan.Win32.VB.aec 一種木馬病毒,中型病毒,它還會修改多處關聯檔案和一些其它的關聯,使得在清除時不好修復.其放出的檔案都是隱藏檔案.中些木馬用戶很難徹底清除。此木馬與Trojan-PSW.Win32.Lmir.anb傳奇木馬相似。

基本介紹

  • 中文名:Trojan.Win32.VB.aec
  • 性質:木馬病毒
  • 病毒類型: 中
  • 危害等級:高
基本情況,病毒描述,行為分析,添加註冊表啟動項,修改檔案關聯,釋放檔案,清除方案,

基本情況

病毒名稱: Trojan.Win32.VB.aec
中文名稱: 木馬
病毒類型: 中
檔案 MD5: 0123C51819C1C1DDAE39721C2B21401C
公開範圍: 完全公開
危害等級: 高
檔案長度: 17,502 位元組
感染系統: Win9x以上所有版本
開發工具: VB6.0
加殼類型: NSPack
命名對照: Symentec[無]
Mcafee[無]

病毒描述

運行此病毒後,病毒會把自己複製多份 到%system%、%windir%等目錄下。然後把自己添加到註冊表啟動項使自己隨系統啟動。還會修改多處關聯檔案和一些其它的關聯,使得在清除時不好修復.其放出的檔案都是隱藏檔案.中些木馬用戶很難徹底清除。此木馬與Trojan-PSW.Win32.Lmir.anb傳奇木馬相似。

行為分析

添加註冊表啟動項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
添加鍵:Torjan Program
鍵值:"C:\WINNT\smss.exe

修改檔案關聯

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc
\ShellNew\Command
原來的: %SystemRoot%\system32\rundll32.exe
%SystemRoot%system32
\syncui.dll,Briefcase_Cr eate %2!d! %1"
修改後:"%SystemRoot%\system32\rundll32.%SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\@
修改後: "winfiles"
原來的: "exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew\Command
修改後: "rundll32. appwiz.cpl,NewLinkHere %1"
原來的: "rundll32.exe appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command\@
修改後: ""C:\Program Files\Internet Explorer
\iexplore. %1"
原來的: ""C:\Program Files\Internet Explorer
\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{871C5380-42A0-1069-A2EA-08002B30309D}\shell
\OpenHomePage\Command\@
修改後: ""C:\Program Files\Internet Explorer
\iexplore ""
原來的: ""C:\Program Files\Internet Explorer
\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile
\shell\cplopen\command\@
修改後: "rundll32 shell32.dll,Control_RunDLL %1,%*"
原來的: "rundll32.exe shell32.dll,Control_RunDLL %1,%*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive
\shell\find\command\@
修改後: "%SystemRoot%\explorer. "
原來的: "%SystemRoot%\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile
\shell\open\command\@
修改後: "%SystemRoot%\system32\rundll32.
NETSHELL.DLL,InvokeDunFile %1"
原來的: "%SystemRoot%\system32\rundll32
NETSHELL.DLL,InvokeDunFile %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\file
\shell\open\command\@
修改後: "rundll32 url.dll,FileProtocolHandler %l"
原來的: "rundll32.exe url.dll,FileProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp
\shell\open\command\@
修改後: ""C:\Program Files\Internet Explorer
\iexplore " %1"
原來的: ""C:\Program Files\Internet Explorer
\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
\shell\open\command\@
修改後: ""C:\Program Files\Internet Explorer
\iexplore " -nohome"
原來的: ""C:\Program Files\Internet Explorer
\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
\shell\opennew\command\@
修改後: ""C:\Program Files\common~1
\iexplore.pif""
原來的: ""C:\Program Files\Internet Explorer
\iexplore.exe"""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile
\shell\print\command\@
修改後: "rundll32 %SystemRoot%\System32
\mshtml.dll,PrintHTML "%1""
原來的: "rundll32 %SystemRoot%\System32
\mshtml.dll,PrintHTML "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http
\shell\open\command\@
修改後: ""C:\Program Files\common~1
\iexplore.pif" -nohome"
原來的: ""C:\Program Files\Internet Explorer
\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
\shell\Install\command\@
修改後: "%SystemRoot%\System32\rundll32
setupapi,InstallHinfSection
DefaultInstall 132 %1"
原來的: "%SystemRoot%\System32\rundll32.exe
setupapi,InstallHinfSection
DefaultInstall 132 %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
\shell\open\command\@
修改後: "shdocvw.dll,OpenURL %l"
原來的: "rundll32.exe shdocvw.dll,OpenURL %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile
\shell\install\command\@
修改後: " desk.cpl,InstallScreenSaver %l"
原來的: "rundll32.exe desk.cpl,InstallScreenSaver %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
\Shell\Generate Typelib\command\@
修改後: ""C:\WINNT\System32\"
C:\WINNT\System32\scrobj.dll,GenerateTypeLib "%1""
原來的: ""C:\WINNT\System32\RUNDLL32.EXE"
C:\WINNT\System32\scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet
\shell\open\command\@
修改後: " url.dll,TelnetProtocolHandler %l"
原來的: "rundll32.exe url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown
\shell\openas\command\@
修改後: "%SystemRoot%\system32\
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
原來的: "%SystemRoot%\system32
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools
\MSInfo\ToolSets\MSInfo\hdwwiz\command
修改後: "C:\WINNT\System32\command.pif"
原來的: "C:\WINNT\System32\rundll32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Shell
修改後: "Explorer.exe 1"
原來的: "Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\@
值: 字元串: "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\@
值: 字元串: "C:\WINNT\ExERoute.exe "%1" %*"

釋放檔案

%windir%下釋放5個隱藏檔案
exeroute.exe
explorer
smss.exe
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502
系統屬性:隱藏\唯讀
系統屬性:隱藏\唯讀
系統屬性:隱藏\唯讀
系統屬性:隱藏\唯讀
%system%下釋放6個隱藏檔案
command.pif
rundll32
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502 系統屬性:隱藏\唯讀
系統屬性:隱藏\唯讀
系統屬性:隱藏\唯讀
系統屬性:隱藏\唯讀
系統屬性:隱藏\唯讀
系統屬性:隱藏\唯讀
Program Files\Internet Explorer下釋放1個隱藏檔案
Iexplore 大小: 17,502 系統屬性:隱藏\唯讀
Program Files\Common Files下釋放1個隱藏檔案
Iexplore 大小: 17,502 系統屬性:隱藏\唯讀
%windir%Debug下釋放1個隱藏檔案
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線進程管理”關閉病毒進程
(2) 刪除病毒檔案
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項

熱門詞條

聯絡我們