該病毒運行後,連線網路下載病毒體到本機運行。衍生病毒副本到系統目錄,添加註冊表IE 擴展項以跟隨IE啟動。插入病毒執行緒到Winlogon進程中,不斷檢測病毒進程是否存在,如無則創 建。並禁用掉註冊表,查尋不利病毒程式予以關閉,例如gpedit.msc。遍歷ProgramFiles目錄, 替換擴展名為.EXE的檔案為病毒副本。
基本介紹
行為分析,清除方案,
行為分析
1 、衍生病毒檔案到下列目錄:
[DriveLetter]\1.exe
[DriveLetter]\1.txt
[DriveLetter]\AutoRun.inf
[DriveLetter]\Rabbit.exe
%WinDir%\GHO.bat
%WinDir%\GHO.inf
%WinDir%\ILTZ.bat
%WinDir%\ILTZ.inf
%WinDir%\IOTZ.bat
%WinDir%\IOTZ.inf
%System32%\JK~.exe
%System32%\loveRabbit~.exe
%System32%\msexch400.dll
%System32%\Rabbit.exe
2 、新建下列註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\
{ 4bf41072-b2b1-21c1-b5c1-0305f4155515 }\StubPath
Value: String: "%WinDir\system32\JK~.exe"
3 、刪除下列註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
InternetSettings\5.0\Cache\Extensible Cache\
MSHist012007041020070411\CachePrefix
Value: String: ":2007041020070411: "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\5.0\Cache\Extensible Cache\
MSHist012007041020070411\CacheRepair
Value: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\
Minimal\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\@
Value: String: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\
Network\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\@
Value: String: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Minimal\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\@
Value: String: "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Network\{ 4D36E967-E325-11CE-BFC1-08002BE10318 }\@
Value: String: "DiskDrive"
4 、病毒調用下列 .bat 及 .inf 檔案,遍歷 ProgramFiles 目錄,搜尋 .EXE 檔案,替換為
病毒副本 , 同時搜尋 .GHO 檔案,替換為病毒副本,以防止用戶恢復備份。
%WinDir%\GHO.bat
%WinDir%\GHO.inf
%WinDir%\ILTZ.bat
%WinDir%\ILTZ.inf
%WinDir%\IOTZ.bat
%WinDir%\IOTZ.inf
5 、由於病毒替換掉正常可執行程式,原有程式正常關聯仍存在,所以,當用戶調用正常程式時,
如 IE ,即可能觸發病毒體。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用安天木馬防線斷開網路,結束病毒進程:
%System32%\loveRabbit~.exe
使用安天木馬防線進程管理功能摘除 winlogon.exe 中的
msexch400.dll 檔案 .
(2) 刪除病毒釋放檔案:
[DriveLetter]\1.exe
[DriveLetter]\1.txt
[DriveLetter]\AutoRun.inf
[DriveLetter]\Rabbit.exe
%WinDir%\GHO.bat
%WinDir%\GHO.inf
%WinDir%\ILTZ.bat
%WinDir%\ILTZ.inf
%WinDir%\IOTZ.bat
%WinDir%\IOTZ.inf
%System32%\JK~.exe
%System32%\loveRabbit~.exe
%System32%\msexch400.dll
%System32%\Rabbit.exe
(3)建議用 Windows 系統光碟恢復 Windows 檔案,使用安天木馬防線
掃描全盤。
