基本介紹
- 中文名:Worm.Win32.VB.dz
- 公開範圍:完全公開
- 檔案長度:10,240位元組
- 危害等級:4
病毒標籤,本地行為,清除方案,
病毒標籤
病毒名稱: Worm.Win32.VB.dz
病毒類型: 蠕蟲類
檔案 MD5: A34FD4A5A63FE81A2DA28B8A77701CA4
公開範圍: 完全公開
危害等級: 4
檔案長度: 10,240 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
本地行為
1、 檔案運行後會衍生以下檔案:
%HomeDrive%\autorun.inf
%HomeDrive%\desktop.exe
%System32%\boothide.reg
%System32%\bootrun.reg
%System32%\scvhost\svchost.exe
%System32%\scvhost.ini
2、 修改註冊表項:
(1)執行bootrun.reg檔案,添加啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新建鍵值: 字元串: "userinit.exe,C:\WINDOWS\system32\scvhost\svchost.exe,wuauserv.exe"
原鍵值: 字元串: "C:\WINDOWS\system32\userinit.exe,"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新建鍵值: DWORD: 2 (0x2)
原鍵值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新建鍵值: DWORD: 0 (0)
原鍵值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
新建鍵值: DWORD: 1 (0x1)
原鍵值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新建鍵值: DWORD: 0 (0)
原鍵值: DWORD: 1 (0x1)
3、病毒進程名為:svchost.exe,仿造系統進程名。
[AutoRun]
shell=verb1
shell\verb1\command=desktop.exe
shell\verb1=打開(&O)
shell=Auto
注釋:
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動系統所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% 當前用戶TEMP快取變數;路徑為:
%Documents and Settings%\當前用戶\Local Settings\Temp
%System32% 是一個可變路徑;
病毒通過查詢作業系統來決定當前System32資料夾的位置;
Windows2000/NT中默認的安裝路徑是 C:\Winnt\System32;
Windows95/98/Me中默認的安裝路徑是 C:\Windows\System;
WindowsXP中默認的安裝路徑是 C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦) 。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。推薦使用ATool(安天安全管理工具) 。
%System32%\scvhost\svchost.exe
%HomeDrive%\desktop.exe
(2) 強行刪除病毒檔案:
%HomeDrive%\autorun.inf
%HomeDrive%\desktop.exe
%System32%\boothide.reg
%System32%\bootrun.reg
%System32%\scvhost\svchost.exe
%System32%\scvhost.ini
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新建鍵值: DWORD: 2 (0x2)
原鍵值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新建鍵值: DWORD: 0 (0)
原鍵值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
新建鍵值: DWORD: 1 (0x1)
原鍵值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新建鍵值: DWORD: 0 (0)
原鍵值: DWORD: 1 (0x1)
