Worm.Win32.VB.fu

病毒名称： Worm.Win32.VB.fu

病毒类型： 蠕虫

文件 MD5： C98E7DA0F034B3F89D9D5F433B9E40AC

公开范围： 完全公开

危害等级： 5

文件长度： 19,892 字节

感染系统： Win98 以上系统

开发工具： Microsoft Visual Basic 5.0 / z6.0

加壳类型： NsPacK V3.7

病毒描述：

该病毒属蠕虫类，病毒运行后衍生病毒文件到系统目录下，修改注册表，添加启动项，以达到随机启动的目的，修改系统时间，修改 IE 主页，病毒在每个盘符下新建一个 autorun.inf 文件，使用户双击盘符时自动运行病毒；关闭 Cryptographic Services 服务；删除 GHO 文件；检测窗体标题栏中如果含有运行、文件夹选项则关闭窗体；尝试结束部分反毒软件的服务，修改文件 txt 、 ini 、 log 的文件关联，当用户试图运行 txt 、 ini 、 log 的文件时，病毒就会运行起来。修改部分正常程序的路径，当用户运行这些程序时，实际上运行的是病毒文件。

行为分析：

1 、 病毒运行后衍生病毒文件：

c:autorun.inf

c:info.exe

c:WINDOWSsystem32driversIsDrv118.sys

bitsCN.com中国网管联盟

c:WINDOWSsystem32driversIsDrv120.sys

2 、 在每个盘符下创建 autorun.inf 和 info.exe 文件：

D:autorun.inf

C:autorun.inf

E:autorun.inf

C:autorun.inf

F:autorun.inf

C:autorun.inf

G:autorun.inf

C:autorun.inf

H:autorun.inf

C:autorun.inf

I:autorun.inf

C:autorun.inf

J:autorun.inf

C:autorun.inf

K:autorun.inf

C:autorun.inf

L:autorun.inf

C:autorun.inf

M:autorun.inf

C:autorun.inf

N:autorun.inf

C:autorun.inf

O:autorun.inf

C:autorun.inf

P:autorun.inf

C:autorun.inf

Q:autorun.inf

C:autorun.inf

R:autorun.inf

C:autorun.inf

feedom.net国内最早的网管网站

S:autorun.inf

C:autorun.inf

T:autorun.inf

C:autorun.inf

U:autorun.inf

C:autorun.inf

V:autorun.inf

C:autorun.inf

W:autorun.inf

C:autorun.inf

X:autorun.inf

C:autorun.inf

Y:autorun.inf

C:autorun.inf

Z:autorun.inf

C:autorun.inf

C:autorun.inf

D:autorun.inf

E:autorun.inf

F:autorun.inf

G:autorun.inf

H:autorun.inf

I:autorun.inf

J:autorun.inf

K:autorun.inf

L:autorun.inf

M:autorun.inf

N:autorun.inf

O:autorun.inf

P:autorun.inf

Q:autorun.inf

R:autorun.inf

S:autorun.inf

T:autorun.inf

U:autorun.inf blog.bitsCN.com网管博客等你来搏

V:autorun.inf

W:autorun.inf

X:autorun.inf

Y:autorun.inf

Z:autorun.inf

C:info.exe

D:info.exe

E:info.exe

F:info.exe

G:info.exe

H:info.exe

I:info.exe

J:info.exe

K:info.exe

L:info.exe

M:info.exe

N:info.exe

O:info.exe

P:info.exe

Q:info.exe

R:info.exe

S:info.exe

T:info.exe

U:info.exe

V:info.exe

W:info.exe

X:info.exe

Y:info.exe

Z:info.exe

3 、当用户双击磁盘盘符时，会自动运行病毒程序， autorun.inf 内容为：

[AUTORUN]

OPEN=info.exe

shellopen=Sb_(&O)

shellopenCommand=info.exe

shellopenDefault=1

blog.bitsCN.com网管博客等你来搏

Shellexecute=info.exe

4 、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

键值 : 字串 : "B-A-I-D-U-C-O-M"="C:info.exe"

5 、修改注册表，使病毒文件 info.exe 随系统进程 Explorer.exe 一同启动：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

新建键值 : 字串 : "Shell"="Explorer.exe"

原键值 : 字串 : "Shell"="Explorer.exe C:info.exe"

6 、修改 IE 主页为王朝：

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

键值 : 字串 : "Start Page"="http://www.baidu.com/"

7 、修改系统时间：

修改系统时间为： 1993 年 9 月 12 日

8 、 关闭 Cryptographic Services 服务：

net stop Cryptographic Services

Cryptographic Services 服务描述：提供三种管理服务 : 编录数据库服务，它确定

play.bitsCN.com累了吗玩一下吧

Windows 文件的签字 ; 受保护的根服务，它从此计算机添加和删除受信根证书机构的

证书 ; 和密钥 (Key) 服务，它帮助注册此计算机获取证书。如果此服务被终止，这些

管理服务将无法正常运行。如果此服务被禁用，任何依赖它的服务将无法启动。

9 、搜索各盘符，删除 GHO 文件，使用户无法使用 GHO 文件恢复系统。

C:/*.*gho

D:/*.*gho

E:/*.*gho

F:/*.*gho

G:/*.*gho

H:/*.*gho

I:/*.*gho

J:/*.*gho

K:/*.*gho

L:/*.*gho

M:/*.*gho

N:/*.*gho

O:/*.*gho

P:/*.*gho

Q:/*.*gho

R:/*.*gho

S:/*.*gho

T:/*.*gho

U:/*.*gho

V:/*.*gho

W:/*.*gho

X:/*.*gho

Y:/*.*gho

Z:/*.*gho

10 、检测窗体标题栏中如果含有运行、文件夹选项则关闭窗体：

bitsCN全力打造网管学习平台

关闭窗口标题栏为运行、文件夹选项的窗体，使用户无法选择“显示所有隐藏的文件”，

无法使用运行窗口开启 cmd.exe 等程序。

11 、修改 ini 、 log 、 txt 文件关联、修改程序路径关联，当用户运行以下正常程序时，

打不开正常程序，且使病毒程序运行：

avp.exe

kwatch.exe

ravmon.exe

icesword.exe

sreng.exe

autorun.exe

rfwmain.exe

ccenter.exe

notepad.exe

mmc.exe

cmd.exe

taskmgr.exe

setup.exe

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionsautorun.exe

键值 : 字串 : "Debugger"="C:info.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionsavp.exe

键值 : 字串 : "Debugger"="C:info.exe"

blog.bitsCN.com网管博客等你来搏

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionsccenter.exe

键值 : 字串 : “Debugger”=“C:info.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionscmd.exe

键值 : 字串 : “Debugger”=“C:info.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionsicesword.exe

键值 : 字串 : “Debugger”=“C:info.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionskwatch.exe

键值 : 字串 : “Debugger”=“C:info.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionsmmc.exe

键值 : 字串 : “Debugger”=“C:info.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

feedom.net关注网管是我们的使命

Image File Execution Options

otepad.exe

键值 : 字串 : “Debugger”=“C:info.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Options

avmon.exe

键值 : 字串 : “Debugger”=“C:info.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Options

fwmain.exe

键值 : 字串 : “Debugger”=“C:info.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionssetup.exe

键值 : 字串 : “Debugger”=“C:info.exe”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionssreng.exe

键值 : 字串 : "Debugger"="C:info.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionssyssafe.exe play.bitsCN.com累了吗玩一下吧

键值 : 字串 : "Debugger"="C:info.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion

Image File Execution Optionsaskmgr.exe

键值 : 字串 : "Debugger"="C:info.exe"

当用户运行 txt 、 ini 、 log 文件时，会激活病毒。

12 、 尝试结束以下反毒软件的服务、并禁止相关程序的运行：

avp.exe

ravmon.exe

kwatch.exe

icesword.exe

sreng.exe

autorun.exe

rfwmain.exe

ccenter.exe

notepad.exe

mmc.exe

cmd.exe

taskmgr.exe

setup.exe

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。 www.bitsCN.net中国网管博客

--------------------------------------------------------------------------------

清除方案：

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程

Syssafe.exe

Info.exe

(2) 删除病毒文件

c:autorun.inf

c:info.exe

c:WINDOWSsystem32driversIsDrv118.sys

c:WINDOWSsystem32driversIsDrv120.sys

x:autorun.inf

x:info.exe

注： x:autorun.inf 中 x 代表能用盘符。

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionWinlogon

新建键值 : 字串 : "Shell"="Explorer.exe"

原键值 : 字串 : "Shell"="Explorer.exe C:info.exe"

feedom.net关注网管是我们的使命

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRun

键值 : 字串 : "B-A-I-D-U-C-O-M"="C:info.exe"

在注册表中搜索 info.exe ，把搜索到的键值全部删除。