Trojan-PSW.Win32.WOW.ck

王朝百科·作者佚名  2010-02-19
窄屏简体版  字體: |||超大  

病毒名称: Trojan-PSW.Win32.WOW.ck

病毒类型: 木马

文件 MD5: 072C9A1423C27FBB1D942D6A2FA4E4FE

公开范围: 完全公开

危害等级: 3

文件长度: 46,350 字节

感染系统: Win9X以上系统

开发工具: Microsoft Visual Basic 5.0 / 6.0

加壳类型: nSPack 3.1

病毒描述:

该病毒属木马类。病毒运行后在 program files 、 %windir% 、 %system32% 文件夹下复制自身,生成 14 个病毒文件;修改注册表,添加启动项,以达到随机启动的目的;将 IE 更改为非默认浏览器;修改 大部分文件的启动方式,和文件关联,并创建新的文件类型。

行为分析:

1 、 病毒运行后在系统盘下大量复制自身:

c:Program FilesCommon Filesinexplore.pif

c:Program FilesInternet Explorerinexplore.com

%windir%1.com

% windir%DebugDebugProgram.exe

% windir%exerouter.exe

% windir%EXP10RER.com

% windir%finders.com

% windir%Shell.sys

%system32%smss.exe

%system32%command.pif

%system32%dxdiag.com

%system32%MSCONFIG.COM

%system32%

egedit.com

%system32%

und1132.com

2 、 修改注册表,添加启动项,以达到随机启动的目的:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

键值 : 字串 : "TProgram"="C:WINNTsmss.exe"

3 、 将 IE 更改为非默认浏览器:

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

键值 : 字串 : "Check_Associations"="No"

4 、 修改文件的启动方式和文件关联:

HKEY_LOCAL_MACHINESOFTWAREClasses.bfcShellNew

新键值 : 字串 : "Command"="%SystemRoot%system32

undll32.exe

%SystemRoot%system32syncui.dll,Briefcase_Create %2!d! %1"

原键值 : 可扩充字串 : "Command"="%SystemRoot%system32

undll32.exe

%SystemRoot%system32syncui.dll,Briefcase_Create %2!d! %1"

HKEY_LOCAL_MACHINESOFTWAREClasses.exe

新键值 : 字串 : @="WindowFiles"

原键值 : 字串 : @="exefile"

HKEY_LOCAL_MACHINESOFTWAREClassesApplicationsiexplore.exeshellopen

command

新键值 : 字串 : @=""C:Program FilesInternet Explorerinexplore.com" %1"

原键值 : 字串 : @=""C:Program FilesInternet Exploreriexplore.exe" %1"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{871C5380-42A0-1069-A2EA-

08002B30309D}shellOpenHomePageCommand

新键值 : 字串 : @=""C:Program FilesInternet Explorerinexplore.com""

原键值 : 可扩充字串 : @="C:Program FilesInternet Exploreriexplore.exe"

HKEY_LOCAL_MACHINESOFTWAREClassesDriveshellfindcommand

新键值 : 字串 : @="%SystemRoot%EXP10RER.com"

原键值 : 可扩充字串 : @="%SystemRoot%Explorer.exe"

HKEY_LOCAL_MACHINESOFTWAREClassesdunfileshellopencommand

新键值 : 字串 : @="%SystemRoot%system32RUNDLL32.EXE

NETSHELL.DLL,InvokeDunFile %1"

原键值 : 可扩充字串 : @="%SystemRoot%system32RUNDLL32.EXE

NETSHELL.DLL,InvokeDunFile %1"

HKEY_LOCAL_MACHINESOFTWAREClassesftpshellopencommand

新键值 : 字串 : @=""C:Program FilesInternet Explorerinexplore.com" %1"

原键值 : 字 串 : @=""C:Program FilesInternet Exploreriexplore.exe" %1"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshellopencommand

新键值 : 字串 : @=""C:Program FilesInternet Explorerinexplore.com" -nohome"

原键值 : 字 串 : @=""C:Program FilesInternet Exploreriexplore.exe" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshellopennewcommand

新键值 : 字串 : @=""C:Program Filescommon~1inexplore.pif""

原键值 : 字 串 : @=""C:Program FilesInternet Exploreriexplore.exe""

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshellprintcommand

新键值 : 字串 : @="rundll32.exe %SystemRoot%system32mshtml.dll,

PrintHTML "%1""

原键值 : 可扩充字串 : @="rundll32.exe %SystemRoot%system32mshtml.dll,

PrintHTML"%1"

HKEY_LOCAL_MACHINESOFTWAREClasseshttpshellopencommand

新键值 : 字串 : @=""C:Program Filescommon~1inexplore.pif" -nohome"

原键值 : 字串 : @=""C:Program FilesInternet Exploreriexplore.exe" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClassesinffileshellInstallcommand

新键值 : 字串 : @="%SystemRoot%System32

undll32.exe setupapi,

InstallHinfSectionDefaultInstall 132 %1"

原键值 : 可扩充字串 : @="%SystemRoot%System32

undll32.exe

setupapi,InstallHinfSection DefaultInstall 132 %1"

HKEY_LOCAL_MACHINESOFTWAREClassesUnknownshellopenascommand

新键值 : 字串 : @="%SystemRoot%system32

undll32.exe

%SystemRoot%system32shell32.dll,OpenAs_RunDLL %1"

原键值 : 可扩充字串 : @="%SystemRoot%system32

undll32.exe

%SystemRoot%system32shell32.dll,OpenAs_RunDLL %1"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

新键值 : 字串 : "Shell"="explorer.exe 1"

原键值 : 字串 : "Shell"="Explorer.exe"

注: %windir% 是一个可变路径。病毒通过查询操作系统来决定当前 windows 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:Winnt , windows95/98/me/xp 中默认的安装路径是 C:Windows;%system32% 同理。

--------------------------------------------------------------------------------

清除方案:

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程

(2) 删除病毒文件:

c:Program FilesCommon Filesinexplore.pif

c:Program FilesInternet Explorerinexplore.com

%windir%1.com

% windir%DebugDebugProgram.exe

% windir%exerouter.exe

% windir%EXP10RER.com

% windir%finders.com

% windir%Shell.sys

%system32%smss.exe

%system32%dxdiag.com

%system32%MSCONFIG.COM

%system32%

egedit.com

%system32%

und1132.com

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun

键值 : 字串 : "TProgram"="C:WINNTsmss.exe"

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

键值 : 字串 : "Check_Associations"="No"

恢复注册表原键值(如果有注册表备份可以直接将其导入):

HKEY_LOCAL_MACHINESOFTWAREClasses.bfcShellNew

新键值 : 字串 : "Command"="%SystemRoot%system32

undll32.exe

%SystemRoot%system32syncui.dll,Briefcase_Create %2!d! %1"

原键值 : 可扩充字串 : "Command"="%SystemRoot%system32

rundll32.exe %SystemRoot%system32syncui.dll,

Briefcase_Create %2!d! %1"

HKEY_LOCAL_MACHINESOFTWAREClasses.exe

新键值 : 字串 : @="WindowFiles"

原键值 : 字串 : @="exefile"

HKEY_LOCAL_MACHINESOFTWAREClassesApplicationsiexplore.exe

shellopencommand

新键值 : 字串 : @=""C:Program FilesInternetExplorer

inexplore.com" %1"

原键值 : 字串 : @=""C:Program FilesInternet

Exploreriexplore.exe" %1"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID

{871C5380-42A0-1069-A2EA-08002B30309D}

shellOpenHomePageCommand

新键值 : 字串 : @=""C:Program FilesInternetExplorer

inexplore.com""

原键值 : 可扩充字串 : @="C:Program FilesInternet Explorer

iexplore.exe"

HKEY_LOCAL_MACHINESOFTWAREClassesDriveshellfindcommand

新键值 : 字串 : @="%SystemRoot%EXP10RER.com"

原键值 : 可扩充字串 : @="%SystemRoot%Explorer.exe"

HKEY_LOCAL_MACHINESOFTWAREClassesdunfileshellopencommand

新键值 : 字串 : @="%SystemRoot%system32RUNDLL32.EXE

NETSHELL.DLL,InvokeDunFile %1"

原键值 : 可扩充字串 : @="%SystemRoot%system32RUNDLL32.EXE

NETSHELL.DLL,InvokeDunFile %1"

HKEY_LOCAL_MACHINESOFTWAREClassesftpshellopencommand

新键值 : 字串 : @=""C:Program FilesInternet Explorer

inexplore.com" %1"

原键值 : 字 串 : @=""C:Program FilesInternet Explorer

iexplore.exe" %1"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshellopencommand

新键值 : 字串 : @=""C:Program FilesInternet Explorer

inexplore.com" -nohome"

原键值 : 字 串 : @=""C:Program FilesInternet Explorer

iexplore.exe" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshellopennew

command

新键值 : 字串 : @=""C:Program Filescommon~1inexplore.pif""

原键值 : 字 串 : @=""C:Program FilesInternet Explorer

iexplore.exe""

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshellprint

command

新键值 : 字串 : @="rundll32.exe %SystemRoot%system32

mshtml.dll,PrintHTML "%1""

原键值 : 可扩充字串 : @="rundll32.exe%SystemRoot%system32

mshtml.dll, PrintHTML"%1"

HKEY_LOCAL_MACHINESOFTWAREClasseshttpshellopencommand

新键值 : 字串 : @=""C:Program Filescommon~1

inexplore.pif" -nohome"

原键值 : 字串 : @=""C:Program FilesInternet Explorer

iexplore.exe" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClassesinffileshellInstall

command

新键值 : 字串 : @="%SystemRoot%System32

undll32.exe

setupapi,InstallHinfSection DefaultInstall 132 %1"

原键值 : 可扩充字串 : @="%SystemRoot%System32

undll32.exe

setupapi,InstallHinfSection DefaultInstall 132 %1"

HKEY_LOCAL_MACHINESOFTWAREClassesUnknownshellopenas

command

新键值 : 字串 : @="%SystemRoot%system32

undll32.exe

%SystemRoot%system32shell32.dll,OpenAs_RunDLL %1"

原键值 : 可扩充字串 : @="%SystemRoot%system32

undll32.exe

%SystemRoot%system32shell32.dll,OpenAs_RunDLL %1"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionWinlogon

新键值 : 字串 : "Shell"="explorer.exe 1"

原键值 : 字串 : "Shell"="Explorer.exe"

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航