病毒名称: Worm.Win32.VB.gr
病毒类型: 蠕虫
文件 MD5: 86311B37D938BB35645E7B092014DD63
公开范围: 完全公开
危害等级: 4
文件长度: 64,775 字节
感染系统: windows98以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: 无
命名对照: Norton[无]
Macfee[无]
病毒描述:
该病毒属蠕虫类,版本信息公司为番茄花园,用以迷惑用户;病毒运行后衍生病毒文件到系
统目录下,修改注册表,新建服务,并以服务的方式达到随机启动的目的;关闭系统错误报告服
务(ERSvc);在系统根目录下创建 autorun.inf 文件,当用户双击磁盘时自动运行病毒;病毒衍
生文件 57F94C04.DLL 插入到系统进程 explorer.exe 和 winlogon.exe 中;隐藏文件,无法在
文件夹选项中通过显示所有文件和文件夹看到隐藏的文件;修改系统日期为 2005 年。
行为分析:
1 、病毒运行后衍生病毒文件到系统目录下:
病毒路径名病毒名
%system32%57F94C04.DLLWorm.Win32.Agent.az
%system32%57F94C04.EXE Worm.Win32.Agent.az
根目录 autorun.inf
根目录
ising.exeWorm.Win32.Agent.az
2 、修改注册表,新建服务,并以服务的方式达到随机启动的目的:
HKEY_CURRENT_USERSYSTEMCurrentControlSetServices57F94C04
键值 : 字串 : "ImagePath"="C:WINDOWSsystem3257F94C04.EXE -k"
服务名称: 57F94C04
显示名称: 57F94C04
描述: 57F94C04
可执行文件的路径: C:WINDOWSsystem3257F94C04.EXE
启动方式:自动
3 、关闭系统错误报告服务( ERSvc ):
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesERSvc
键值 : 字串 : "ImagePath"=" %SystemRoot%System32svchost.exe -k netsvcs. "
ERSvc 服务:服务和应用程序在非标准环境下运行时允许错误报告。 "
4 、在系统根目录下创建 autorun.inf 文件,当用户双击磁盘时自动运行病毒。
[AutoRun]
open=rising.exe
shellexecute=rising.exe
shellAutocommand=rising.exe
5 、病毒衍生文件 57F94C04.DLL 插入到系统进程 explorer.exe 和 winlogon.exe 中。
6 、隐藏文件,无法在文件夹选项中通过显示所有文件和文件夹看到隐藏的文件:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL
键值:字串: "CheckedValue"=dword:00000000
57F94C04.DLL 监控注册表,每间隔为三秒检查该键值是否为 0 ,
否则改为 0 ,以使系统无法显示所有文件和文件夹。
7 、修改日期:
修改系统日期为 2005 年。
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。Windows2000/NT 中默认的安装路径是 C:WinntSystem32 , windows95/98/me 中默认的安装路径是 C:WindowsSystem , windowsXP 中默认的安装路径是 C:WindowsSystem32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线 “进程管理”关闭病毒进程。
病毒名 .exe
(2) 删除病毒文件:
%system32%57F94C04.DLL
%system32%57F94C04.EXE
根目录 autorun.inf
根目录
ising.exe
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项。
终止服务: 57F94C04 ,并把其启动方式改为:已禁止
