基本介紹
- 外文名:Worm.Win32.VB.gr
- 公開範圍: 完全公開
- 危害等級: 4
- 加殼類型:無
病毒名稱,行為分析,、病毒運行,、修改註冊表,、關閉系統,、創建 autorun.inf,隱藏檔案,
病毒名稱
Worm.Win32.VB.gr
病毒類型: 蠕蟲
檔案 MD5: 86311B37D938BB35645E7B092014DD63
公開範圍: 完全公開
危害等級: 4
檔案長度: 64,775 位元組
感染系統: windows98以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: 無
命名對照: Norton[無]
Macfee[無]
行為分析
、病毒運行
病毒運行後衍生病毒檔案到系統目錄下:
病毒路徑名 病毒名
%system32%\57F94C04.DLL 厚臘婆 Worm.Win32.Agent.az
%system32%\57F94C04.EXE Worm.Win32.Agent.az
根目錄 \autorun.inf
根目錄 \rising.exe Worm.Win32.Agent.az
、修改註冊表
修改註冊表,新建服務,並以服務的方式達到隨機啟動的目的:
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\57F94C04
鍵值 : 字串 : "ImagePath"="C:\WINDOWS\system32\57F94C04.EXE -k"
服務名稱: 57F94C04
顯示名稱: 57F94C04
描述: 57F94C04
可執遙愚行檔案的路徑: C:\WINDOWS\system32\57F94C04.EXE
、關閉系統
關閉系統錯誤報告服務( ERSvc ):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
鍵值 : 字串 : "ImagePath"=" %SystemRoot%\System32\svchost.exe -k netsvcs. "
ERSvc 服務:服務和應用程式在非標準環境下運行時允許主酷旬錯誤報告。 "
、創建 autorun.inf
在系統根目錄下創建舉民判籃 autorun.inf 檔案,當用戶雙擊磁碟時自動運行病毒。
[AutoRun]
open=rising.exe
shellexecute=rising.exe
shell\Auto\command=rising.exe
5 、病毒衍生檔案 57F94C04.DLL 插入到系統進程 explorer.exe 和 winlogon.exe 中。
隱藏檔案
無寒驗灶戰法在資料夾選項中通過顯示所有檔案和資料夾看到隱藏的檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
鍵值:字串: "CheckedValue"=dword:00000000
57F94C04.DLL 監控註冊表,每間隔為三秒檢查該鍵值是否為 0 ,
否則改為 0 ,以使系統無法顯示所有檔案和少腿享資料夾。
7 、修改日期:
修改系統日期為 2005 年。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默多才朽認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
病毒名 .exe
(2) 刪除病毒檔案:
%system32%\57F94C04.DLL
%system32%\57F94C04.EXE
根目錄 \autorun.inf
根目錄 \rising.exe
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。
終止服務: 57F94C04 ,並把其啟動方式改為:已禁止
shellexecute=rising.exe
shell\Auto\command=rising.exe
5 、病毒衍生檔案 57F94C04.DLL 插入到系統進程 explorer.exe 和 winlogon.exe 中。
隱藏檔案
無法在資料夾選項中通過顯示所有檔案和資料夾看到隱藏的檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
鍵值:字串: "CheckedValue"=dword:00000000
57F94C04.DLL 監控註冊表,每間隔為三秒檢查該鍵值是否為 0 ,
否則改為 0 ,以使系統無法顯示所有檔案和資料夾。
7 、修改日期:
修改系統日期為 2005 年。
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
病毒名 .exe
(2) 刪除病毒檔案:
%system32%\57F94C04.DLL
%system32%\57F94C04.EXE
根目錄 \autorun.inf
根目錄 \rising.exe
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。
終止服務: 57F94C04 ,並把其啟動方式改為:已禁止