病毒資料
病毒名稱: Worm.Win32.VB.fu
檔案 MD5: C98E7DA0F034B3F89D9D5F433B9E40AC
感染系統: Win98 以上系統
開發工具: Microsoft Visual Basic 5.0 / z6.0
加殼類型: NsPacK V3.7
病毒描述
關閉 Cryptographic Services 服務;刪除 GHO 檔案;檢測
窗體標題欄中如果含有運行、
資料夾選項則關閉窗體;嘗試結束部分反毒軟體的服務,修改檔案 txt 、 ini 、 log 的檔案關聯,當用戶試圖運行 txt 、 ini 、 log 的檔案時,病毒就會運行起來。修改部分正常程式的路徑,當用戶運行這些程式時,實際上運行的是病毒檔案。
行為分析
病毒行為
1 、 病毒運行後衍生病毒檔案:
c:\autorun.inf
c:\info.exe
c:\WINDOWS\system32\drivers\IsDrv118.sys
c:\WINDOWS\system32\drivers\IsDrv120.sys
2 、 在每個盤符下創建 autorun.inf 和 info.exe 檔案:
D:\autorun.inf
C:\autorun.inf
E:\autorun.inf
C:\autorun.inf
F:\autorun.inf
C:\autorun.inf
G:\autorun.inf
C:\autorun.inf
H:\autorun.inf
C:\autorun.inf
I:\autorun.inf
C:\autorun.inf
J:\autorun.inf
C:\autorun.inf
K:\autorun.inf
C:\autorun.inf
L:\autorun.inf
C:\autorun.inf
M:\autorun.inf
C:\autorun.inf
N:\autorun.inf
C:\autorun.inf
O:\autorun.inf
C:\autorun.inf
P:\autorun.inf
C:\autorun.inf
Q:\autorun.inf
C:\autorun.inf
R:\autorun.inf
C:\autorun.inf
國內最早的網管網站
S:\autorun.inf
C:\autorun.inf
T:\autorun.inf
C:\autorun.inf
U:\autorun.inf
C:\autorun.inf
V:\autorun.inf
C:\autorun.inf
W:\autorun.inf
C:\autorun.inf
X:\autorun.inf
C:\autorun.inf
Y:\autorun.inf
C:\autorun.inf
Z:\autorun.inf
C:\autorun.inf
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
G:\autorun.inf
H:\autorun.inf
I:\autorun.inf
J:\autorun.inf
K:\autorun.inf
L:\autorun.inf
M:\autorun.inf
N:\autorun.inf
O:\autorun.inf
P:\autorun.inf
Q:\autorun.inf
R:\autorun.inf
S:\autorun.inf
T:\autorun.inf
U:\autorun.inf blog. 網管部落格等你來搏
V:\autorun.inf
W:\autorun.inf
X:\autorun.inf
Y:\autorun.inf
Z:\autorun.inf
C:\info.exe
D:\info.exe
E:\info.exe
F:\info.exe
G:\info.exe
H:\info.exe
I:\info.exe
J:\info.exe
K:\info.exe
L:\info.exe
M:\info.exe
N:\info.exe
O:\info.exe
P:\info.exe
Q:\info.exe
R:\info.exe
S:\info.exe
T:\info.exe
U:\info.exe
V:\info.exe
W:\info.exe
X:\info.exe
Y:\info.exe
Z:\info.exe
3 、當用戶雙擊磁碟盤符時,會自動運行病毒程式, autorun.inf 內容為:
[AUTORUN]
OPEN=info.exe
shell\open=Sb_(&O)
shell\open\Command=info.exe
shell\open\Default=1
blog. 網管部落格等你來搏
Shellexecute=info.exe
4 、修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "B-A-I-D-U-C-O-M"="C:\info.exe"
5 、修改註冊表,使病毒檔案 info.exe 隨
系統進程 Explorer.exe 一同啟動:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
新建鍵值 : 字串 : "Shell"="Explorer.exe"
原鍵值 : 字串 : "Shell"="Explorer.exe C:\info.exe"
6 、修改 IE 主頁為百度:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
鍵值 : 字串 : "Start Page"="http://www. /"
7 、修改系統時間:
修改系統時間為: 1993 年 9 月 12 日
8 、 關閉 Cryptographic Services 服務:
net stop Cryptographic Services
Cryptographic Services 服務描述:提供三種管理服務 : 編錄資料庫服務,它確定
play. 了嗎玩一下吧
Windows 檔案的簽字 ; 受保護的根服務,它從此計算機添加和刪除受信根證書機構的
證書 ; 和
密鑰 (Key) 服務,它幫助註冊此計算機獲取證書。如果此服務被終止,這些
管理服務將無法正常運行。如果此服務被禁用,任何依賴它的服務將無法啟動。
9 、搜尋各盤符,刪除 GHO 檔案,使用戶無法使用 GHO 檔案恢復系統。
C:/*.*gho
D:/*.*gho
E:/*.*gho
F:/*.*gho
G:/*.*gho
H:/*.*gho
I:/*.*gho
J:/*.*gho
K:/*.*gho
L:/*.*gho
M:/*.*gho
N:/*.*gho
O:/*.*gho
P:/*.*gho
Q:/*.*gho
R:/*.*gho
S:/*.*gho
T:/*.*gho
U:/*.*gho
V:/*.*gho
W:/*.*gho
X:/*.*gho
Y:/*.*gho
Z:/*.*gho
bitsCN全力打造網管學習平台
關閉視窗
標題欄為運行、資料夾選項的
窗體,使用戶無法選擇“顯示所有隱藏的檔案”,
無法使用運行視窗開啟 cmd.exe 等程式。
11 、修改 ini 、 log 、 txt 檔案關聯、修改程式路徑關聯,當用戶運行以下正常程式時,
打不開正常程式,且使病毒程式運行:
avp.exe
kwatch.exe
ravmon.exe
icesword.exe
sreng.exe
autorun.exe
rfwmain.exe
ccenter.exe
notepad.exe
mmc.exe
cmd.exe
taskmgr.exe
setup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\autorun.exe
鍵值 : 字串 : "Debugger"="C:\info.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\avp.exe
鍵值 : 字串 : "Debugger"="C:\info.exe"
blog. 網管部落格等你來搏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\ccenter.exe\
鍵值 : 字串 : “Debugger”=“C:\info.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\cmd.exe\
鍵值 : 字串 : “Debugger”=“C:\info.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\icesword.exe\
鍵值 : 字串 : “Debugger”=“C:\info.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\kwatch.exe\
鍵值 : 字串 : “Debugger”=“C:\info.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\mmc.exe\
鍵值 : 字串 : “Debugger”=“C:\info.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
關注網管是我們的使命
Image File Execution Options\notepad.exe\
鍵值 : 字串 : “Debugger”=“C:\info.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\ravmon.exe\
鍵值 : 字串 : “Debugger”=“C:\info.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\rfwmain.exe\
鍵值 : 字串 : “Debugger”=“C:\info.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\setup.exe\
鍵值 : 字串 : “Debugger”=“C:\info.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\sreng.exe\
鍵值 : 字串 : "Debugger"="C:\info.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\syssafe.exe\ play. 累了嗎玩一下吧
鍵值 : 字串 : "Debugger"="C:\info.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\taskmgr.exe\
鍵值 : 字串 : "Debugger"="C:\info.exe"
當用戶運行 txt 、 ini 、 log 檔案時,會激活病毒。
12 、 嘗試結束以下反毒軟體的服務、並禁止相關程式的運行:
avp.exe
ravmon.exe
kwatch.exe
icesword.exe
sreng.exe
autorun.exe
rfwmain.exe
ccenter.exe
notepad.exe
mmc.exe
cmd.exe
taskmgr.exe
setup.exe
注
% System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。 www. 中國網管部落格
--------------------------------------------------------------------------------
清除方案
安天木馬防線
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
手工清除
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
Syssafe.exe
Info.exe
(2) 刪除病毒檔案
c:\autorun.inf
c:\info.exe
c:\WINDOWS\system32\drivers\IsDrv118.sys
c:\WINDOWS\system32\drivers\IsDrv120.sys
x:\autorun.inf
x:\info.exe
註: x:\autorun.inf 中 x 代表能用盤符。
(3) 恢復病毒修改的
註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon
新建鍵值 : 字串 : "Shell"="Explorer.exe"
原鍵值 : 字串 : "Shell"="Explorer.exe C:\info.exe"
關注網管是我們的使命
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "B-A-I-D-U-C-O-M"="C:\info.exe"
在註冊表中搜尋 info.exe ,把搜尋到的鍵值全部刪除。