[注意]论坛又有病毒了-装修网-芦苇装修知识网

本主题被查看600次, 共10个帖子, 1页, 当前为第1页选择页数: 1 跳转到第页上一主题下一主题

pop101

HP:1336
注册日期:2005-06-24
状态:离线

用户资料发短消息收藏此用户编辑引用回复删除

2006-03-30 10:01

病毒名称： Trojan-Downloader.VBS.Psyme.ap
病毒类型：木马
危害等级：中
文件长度： 3,143 字节
感染系统： windows 9x 以上版本
开发工具： Visual Basic Script

病毒描述：
　　该脚本被运行后会从网络上下载其他木马程序，病在感染主机上运行。该脚本试图终止某些程序的进程。复制自身到 %system% 目录下。下载四个病毒到 %system% 目录下。大量修改、新建注册表，加入数十个 iexplore.exe 到系统进程。修改 IE 首页地址。
行为分析：
1 、该 VBS 病毒运行后会终止试图终止 outlook.exe 、 drweb.exe 的进程

2 、病毒运行后，会从网络上下载四个木马到感染主机运行。该病毒被下载到 %system% 下，病毒明分别为：

dstart.exe 病毒名： Trojan.Win32.Dialer.gd
dstart1.exe 病毒名： Trojan-Proxy.Win32.Sobit.e
dstart2.exe 病毒名： Trojan.Win32.Dialer.ht
dstart3.exe 病毒名： Trojan.Downloader.Win32.Small.rd
修改 %system% system.ini 文件。

3 、修改 IE 设置，首地址被修改为 http://bbs.sejie.com/

4 、大量修改、新建注册表，举例如下：

HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\xp_system
键值 : 字串 : ###C:\WINNT\inet10065\winlogon.exe###
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer
\RecentDocs\.htm\MRUList
键值 : 字串 : ###a###
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer
\FileExts\.htm\OpenWithList\a
键值 : 字串 : ###iexplore.exe###
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
键值 : 字串 : ###C:\WINNT\inet10065\winlogon.exe###
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Internet Explorer
\Main\Error Dlg Displayed On Every Error
键值 : 字串 : ###no###
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Internet Explorer\Main\Enable Browser Extensions
键值 : 字串 : ###yes###
HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Internet Explorer\Main\Error Dlg Details Pane Open
键值 : 字串 : ###no###
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
\LEGACY_RASMAN\0000\DeviceDesc
键值 : 字串 : ###Remote Access Connection Manager###
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32\@
键值 : 字串 : ###C:\WINNT\inet10065\3.00.05.dll###

其中，在如下注册表位置，大量新键键值

HKEY_USERS\S-1-5-21-1960408961-413027322-839522115-500
\Software\Microsoft\Internet Explorer\Keywords\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Tracing\BAP\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Tracing\RASMAN\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\RasMan\Enum\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\PerfProc\Performance\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Fax\Performance\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface
\{FD1302BD-4080-11D1-A3AC-00C04FB950DC}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\ContentFilter\Performance\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
\LEGACY_RASMAN\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
\Performance\WbemAdapFileTime
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\Spooler\Performance\WbemAdapFileSize
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\TapiSrv\Performance\WbemAdapFileSize
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\RasMan\Parameters\IpOutLowWatermark
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\RemoteAccess\Performance\WbemAdapStatus

--------------------------------------------------------------------------------
清除方案：
1、使用安天木马防线2005+可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置

附：
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+：
　　木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。