病毒类型: 木马
文件 MD5: 166CA6114526C98314D115A82FFBE695
文件长度: 33,396 字节
感染系统: Windows流行版本
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
开发工具: Borland Delphi 6.0 - 7.0
病毒描述:
该病毒属于木马类,可以偷取用户QQ密码、获取用户的IP地址等。衍生病毒文件Wn_Sys8x.Sys到%Program Files%Internet ExplorerPLUGINS下,若要衍生的病毒文件已经存在,创建另一个文件Wn_Sys8x.Tao作为副本,查找E盘,在根目录下创建病毒文件,使用户双击打开E盘时,运行病毒文件;修改注册表添加HOOK项,以达到随特定程序启动的目的;该病毒通过移动磁盘进行传播。
行为分析:
1、文件运行后会释放以下文件
%Program Files%Internet ExplorerPLUGINSSy_Win7k.Jmp
%Program Files%Internet ExplorerPLUGINSWn_Sys8x.Sys
%Program Files%Internet ExplorerPLUGINSWn_Sys8x.Tao
E:autorun.inf
E:autorun.exe
2、新增注册表
[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9963387B-212E-4643-B207-82DAEA0E713D}
inProCserveR32]
注册表值:"@"
类型: REG_SZ
值:"C:Program FilesInternet ExplorerPLUGINSWn_Sys8x.Sys"
描述: 为病毒文件设置ID号
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
ShellExecuteHooks]
注册表值:"{9963387B-212E-4643-B207-82DAEA0E713D}"
类型: REG_SZ
值:""
描述: 将病毒文件的ID号添加到HOOK项中,使其随其他程序启动。
注:%Temp%是一个可变路径,是系统当前用户AAAAA下的C:Documents and Settings
AAAAALocal SettingsTemp目录。
代码分析
1、在E盘根目录下衍生病毒文件。
2、病毒文件中autorun.inf、Sy_Win7k.Jmp文件均通过调用00404A9C子程序来实现其创建过程
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%Program Files%Internet ExplorerPLUGINSSy_Win7k.Jmp
%Program Files%Internet ExplorerPLUGINSWn_Sys8x.Sys
%Program Files%Internet ExplorerPLUGINSWn_Sys8x.Tao
E:autorun.inf
E:autorun.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{9963387B-212E-4643-B207
-82DAEA0E713D}inProCserveR32]
注册表值:"@"
类型: REG_SZ
值:"C:Program FilesInternet ExplorerPLUGINSWn_Sys8x.Sys"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerShellExecuteHooks]
注册表值:"{9963387B-212E-4643-B207-82DAEA0E713D}"
类型: REG_SZ