危险等级:★★★
病毒名称:Harm.Win32.VB.n
截获时间:2007-12-23
入库版本:20.23.62
类型:病毒
感染的操作系统:Windows XP, Windows NT, Windows Server 2003, Windows 2000
威胁情况:
传播级别:中
清除难度:中
破坏力:中
破坏手段:破坏应用程序、感染脚本文件、下载病毒程序
病毒运行后首先把自己复制到System32文件夹下,添加以下注册表值实现自启动:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionRun
Winstary = C:WINDOWSsystem32SDGames.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows
load = C:WINDOWSsystem32SDGames.exe
run = C:WINDOWSsystem32SDGames.exe
执行以下CMD命令实现关闭防火墙等功能
sc config winmgmt start= AUTO & net start winmgmt & quit
sc config lanmanserver start= AUTO & net start lanmanserver & quit
sc config Alg Start= disabled & net stop Alg
sc config sharedaccess Start= disabled & net stop sharedaccess
释放脚本文件Taskeep.vbs,该脚本每隔2秒查找进程中是否存在病毒进程,如果没有则重新运行病毒程序.查找网络共享磁盘,如果找到把自己复制到该文件夹命名为xcopy.exe添autorun.inf文件使得用户打开磁盘时同时运行病毒。释放netshare.cmd文件,把用户所有磁盘都改为共享磁盘。遍历本机的脚本文件和可执行文件,对于脚本文件,在其后面添加以下代码src="http://zhidaobaidu.10mb.cn/",使得用户运行脚本时打开该网页;对于可执行文件,病毒会把自己覆盖到正常文件,使得正常可执行文件被破坏。病毒会把自己复制到本地所有磁盘中,添autorun.inf文件使得用户打开磁盘时同时运行病毒。从http://coolkiller.go1.icpcn.com/QQ.gif下载病毒程序。把系统时间的年份改为2030年,使得卡巴斯基杀毒软件失效.
然后修改以下注册表键值实现禁用注册表编辑器、任务管理器等功能
HKEY_CLASSES_ROOTxtfileshellopen
Command = C:WINDOWSsystem32SDGames.exe
HKEY_CLASSES_ROOT
egfileshellopen
Command = C:WINDOWSsystem32SDGames.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain
start page = wangma
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
start page = http://www.zhidaobaidu.10mb.cn/
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain
default_page_url = wangma
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
default_page_url = wangma
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionpoliciessystem
disabletaskmgr = 1
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionpoliciessystem
disableregistrytools = 1
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentversionPoliciesExplorer
nosettaskbar = 1
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
HideFileExt = 1
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Hidden = 2
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced
FolderHiddenSHOWALL
CheckedValue = 0
然后修改以下注册表键值实现镜像劫持,使得用户运行以下程序时都会运行病毒程序:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Options360rpt.exe
Debugger = C:WINDOWSsystem32SDGames.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution OptionsTrojanwall.exe
Debugger = C:WINDOWSsystem32SDGames.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution OptionsKvReport.kxp
Debugger = C:WINDOWSsystem32SDGames.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution OptionsQQ.exe
Debugger = C:WINDOWSsystem32SDGames.exe
最后释放Avpser.cmd文件,该程序遍历进程查找进程中是否存在以下反病毒软件进程,如果存在则结束该进程:
RavMonD.exe RavStub.exe avp.exe 360safe.exe
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到20.23.62版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。
