一、病毒描述：
        病毒通過(guò)U盤傳播，運(yùn)行后復(fù)制自身到系統(tǒng)目錄并釋放一個(gè)灰鴿子木馬。為增強(qiáng)隱蔽性，生成的病毒文件有回收站和安
        裝程序兩種圖標(biāo)?！　?nbsp;       

二、病毒基本情況：
        病毒名稱：Trojan-Dropper.Win32.VB.rj
        病毒別名：無(wú)
        病毒類型：病毒
        危害級(jí)別：3
        感染平臺(tái)：Windows
        病毒大?。?58,752(字節(jié))
        SHA1　?。篵86e419783b2d1ca9a5d4ea7de4711cf3da7a83b
        加殼類型：無(wú)
        開(kāi)發(fā)工具：Microsoft Visual Basic 5.0 / 6.0

三、病毒行為：
         1、病毒運(yùn)行后會(huì)生成以下文件：
            %windir%\svchost.exe　(458752 字節(jié)，回收站圖標(biāo))
            %windir%\ravfree.exe　(307640 字節(jié)，安裝程序圖標(biāo)，灰鴿子木馬)
            %ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe　(307640 字節(jié)，安裝程序圖
            標(biāo)，灰鴿子木馬)
            %windir%\system32\_servieces.exe　(307640 字節(jié)，安裝程序圖標(biāo)，灰鴿子木馬)
         2、修改注冊(cè)表添加一個(gè)啟動(dòng)項(xiàng)：
            鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
            鍵名：Shell
            鍵值：Explorer.exe %windir%\svchost.exe 　　            
         3、為灰鴿子木馬添加一個(gè)服務(wù)：
            服務(wù)名稱：system starmize
            顯示名稱：system starmize
            描述：系統(tǒng)自帶啟動(dòng)優(yōu)化
            可執(zhí)行文件路徑：%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
            啟動(dòng)類型：自動(dòng) 　　            
         4、修改系統(tǒng)時(shí)間。通過(guò)執(zhí)行cmd.exe /c date 1980-01-01命令，將系統(tǒng)時(shí)間修改為1980年。
         5、監(jiān)視U盤等移動(dòng)設(shè)備，拷貝自身到U盤里面并命名為recycle.exe，寫(xiě)入autorun.inf，以達(dá)到隨U盤傳播的目的。
         6、病毒釋放的灰鴿木馬會(huì)連接http://sx.yixiti.net.ru/i/i.txt下載i.txt文件，根據(jù)i.txt文件中的內(nèi)容連接黑客
            并接受其控制。
         7、監(jiān)視自身文件及啟動(dòng)項(xiàng)，防止被刪除。

四、解決方案：
         1、刪除注冊(cè)表內(nèi)的啟動(dòng)項(xiàng)。修改注冊(cè)表刪除病毒啟動(dòng)項(xiàng)，刪除鍵值內(nèi)的%windir%\svchost.exe：
            鍵路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
            鍵名：Shell
            鍵值：Explorer.exe %windir%\svchost.exe
         2、重啟計(jì)算機(jī)，進(jìn)入安全模式。
         3、刪除病毒文件。刪除以下文件：
            %windir%\svchost.exe
            %windir%\ravfree.exe
            %ProgramFiles%\Common Files\Microsoft Shared\MSINFO\servieces.exe
            %windir%\system32\_servieces.exe
         4、刪除病毒添加的服務(wù)。打開(kāi)超級(jí)巡警，使用服務(wù)管理功能刪除名為system starmize的服務(wù)。
         5、修正系統(tǒng)時(shí)間。 　　         

五、對(duì)預(yù)防此病毒的建議：
        由于此病毒是通過(guò)U盤傳播的，所以建議使用超級(jí)巡警的U盤免疫對(duì)U盤進(jìn)行免疫，并且廢除系統(tǒng)的自動(dòng)運(yùn)行功能。在
     將U盤插入到電腦時(shí)要對(duì)U盤進(jìn)行殺毒，然后再使用。

最新評(píng)論