病毒名称:
Trojan.Prova
类别: 特洛伊木马
病毒资料:
受影响系统:Windows 95, Windows 98, Windows NT, windows 2000, Windows XP, Windows Me
危险级别:中
传播速度:低
病毒危害:
1.降低电脑性能:可删除"开始"菜单中的"运行"选项,并且能禁止编辑注册表;
2.导致系统不稳定:会关闭系统。
技术特征:
该特洛伊木马的主程序文件是一个可执行的文件,且包含有该木马的其他所有组件。主程序文件看起来是一个Macromedia Flash 图标,大约1M多字节。运行后会创建许多子文件,以下就是这些子文件的列表以及每个文件的功能:
1..exe: 这是此木马主要的可执行文件,文件名任意:
大小: 1,001,081字节
图标: Macromedia Flash icon
创建的文件:
Prova.exe
Quiz.exe
Pl.dll (这是一个清除文件)
所完成的功能: 运行Prova.exe程序.
2.Prova.exe:由主可执行文件创建;
大小: 383,231字节
图标: Macromedia Flash icon
创建的文件:无
所完成的功能:运行Quiz.exe,利用Flash动画显示意大利语信息,并启动Sistrai.exe
3.Quiz.exe: 由主可执行文件创建;
大小: 690,688字节
图标: Macromedia Flash icon
创建的文件:
C:WindowsSystemExplorer.exe
C:WindowsCommandSistray.exe
C:WindowsCommandSistrai.exe (一个清除文件)
所完成的功能:将 C:WindowsSystemMsconfig.exe更名为 C:WindowsSystemSystem12.sys
注意: Msconfig.exe在Windows 95、Windows NT/2000/XP 系统上没有。
4.Pl.dll: 由主可执行文件创建;
大小: 17,920 字节
图标: Windows DLL icon
创建的文件: 无
所完成的功能: 木马用此清除文件来关闭系统。
5.Explorer.exe: 由木马生成的Quiz.exe可执行文件创建.
大小: 403,025 字节
图标: Windows Explorer icon
创建的文件:
1.exe
Sistrai.exe (清除文件.)
所完成的功能:运行1.exe
6.Sistray.exe: 由木马生成的Quiz.exe可执行文件创建.
大小: 336,827字节
图标: Macromedia Flash icon
创建的文件:
Zebedeo.exe
Autoexe.exe
所完成的功能:运行Zebedeo.exe
7.Sistrai.exe: 由木马生成的Quiz.exe或Explorer.exe可执行文件创建.
大小: 30,208 字节
图标: Systray icon
创建的文件:无
所完成的功能:关闭计算机的一个小程序工具,木马用此工具来关闭系统.
8.Zebedeo.exe:由木马生成的Sistray.exe可执行文件创建.
大小: 378,582字节
[iduba_page]图标: Macromedia Flash icon
创建的文件:无
所完成的功能: 运行 Autoexe.exe 及Sistrai.exe,这两个文件会关闭系统.
9.Autoexe.exe:由木马生成的Sistray.exe可执行文件创建.
大小: 31,744 字节
图标: Macromedia Flash icon
创建的文件: Autoexe.bat
所完成的功能: 尝试运行并删除Autoexe.bat文件.
另外,此木马会创建一个原始自动批处理文件Autoexec.bat的备份文件Autoexec.bac ,之后创建自己的批处理文件Autoexec.bat。系统重新启动后,被感染的Autoexec.bat文件会将未受感染的C:WindowsExplorer.exe移动到C:WindowsCommandExplorer.exe。然后将C:WindowsSystemExplorer.exe(木马所生成的文件)移动到C:WindowsExplorer.exe。
同时会分别添加如下键值到注册表中:
sistray c:windowscommandsistray.exe
sistrai.exe c:windowscommandsistrai.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
在Win 95/98/Me系统上,此木马会关闭Regedit.exe并将"运行"选项从"开始"菜单中删除。为了使Regedit.exe无法运行,它将注册表
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem中的DisableRegistryTools键值设为0。
而将"运行"选项从"开始"菜单中删除,它是将注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
中的NoRun键值改为0。
注意:上述对注册表的修改不会发生在Win NT/2000/XP上。
编辑注册表:
1.点击"开始"、"运行"菜单,出现"运行"对话框;
2.键入regedit并单击"确定",注册表编辑打开;
3.找到如下键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
4.在右边窗口删除如下键值:
sistray c:windowscommandsistray.exe
sistrai.exe c:windowscommandsistrai.exe
5.找到如下键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
6.在右边窗口删除如下键值:
sistray c:windowscommandsistray.exe
sistrai.exe c:windowscommandsistrai.exe
7.退?/font
病毒的清除法:
1.运行杀毒软件,删除所有被Trojan.Prova感染过的文件;
2.查找并删除所有Sistrai.exe的副本,之后删除所有其他相关文件;
3.删除添加至注册表中的键值。
病毒演示:
病毒FAQ:
发现日期:
2002-5-1
