Worm.Win32.Rabbit.a
病毒名称: Worm.Win32.Rabbit.a
中文名称: 兔子
病毒类型: 蠕虫类
文件 MD5: c1d4ed9b369d8f37743d42105d716a5b
公开范围: 完全公开
危害等级: 5
文件长度: 加壳后 195,313 字节,脱壳后446,464 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: RLPack
病毒描述:
该病毒运行后,连接网络下载病毒体到本机运行。衍生病毒副本到系统目录,添加注册表IE
扩展项以跟随IE启动。插入病毒线程到Winlogon进程中,不断检测病毒进程是否存在,如无则创
建。并禁用掉注册表,查寻不利病毒程序予以关闭,例如gpedit.msc。遍历ProgramFiles目录,
替换扩展名为.EXE的文件为病毒副本。
行为分析:
1 、衍生病毒文件到下列目录:
[DriveLetter]1.exe
[DriveLetter]1.txt
[DriveLetter]AutoRun.inf
[DriveLetter]Rabbit.exe
%WinDir%GHO.bat
%WinDir%GHO.inf
%WinDir%ILTZ.bat
%WinDir%ILTZ.inf
%WinDir%IOTZ.bat
%WinDir%IOTZ.inf
%System32%JK~.exe
%System32%loveRabbit~.exe
%System32%msexch400.dll
%System32%Rabbit.exe
2 、新建下列注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalledComponents
{ 4bf41072-b2b1-21c1-b5c1-0305f4155515 }StubPath
Value: String: "%WinDirsystem32JK~.exe"
3 、删除下列注册表键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
InternetSettings5.0CacheExtensible Cache
MSHist012007041020070411CachePrefix
Value: String: ":2007041020070411: "
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
Internet Settings5.0CacheExtensible Cache
MSHist012007041020070411CacheRepair
Value: DWORD: 0 (0)
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot
Minimal{ 4D36E967-E325-11CE-BFC1-08002BE10318 }@
Value: String: "DiskDrive"
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot
Network{ 4D36E967-E325-11CE-BFC1-08002BE10318 }@
Value: String: "DiskDrive"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
Minimal{ 4D36E967-E325-11CE-BFC1-08002BE10318 }@
Value: String: "DiskDrive"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
Network{ 4D36E967-E325-11CE-BFC1-08002BE10318 }@
Value: String: "DiskDrive"
4 、病毒调用下列 .bat 及 .inf 文件,遍历 ProgramFiles 目录,搜索 .EXE 文件,替换为
病毒副本 , 同时搜索 .GHO 文件,替换为病毒副本,以防止用户恢复备份。
%WinDir%GHO.bat
%WinDir%GHO.inf
%WinDir%ILTZ.bat
%WinDir%ILTZ.inf
%WinDir%IOTZ.bat
%WinDir%IOTZ.inf
5 、由于病毒替换掉正常可执行程序,原有程序正常关联仍存在,所以,当用户调用正常程序时,
如 IE ,即可能触发病毒体。
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。Windows2000/NT 中默认的安装路径是 C:WinntSystem32 , windows95/98/me 中默认的安装路径是 C:WindowsSystem , windowsXP 中默认的安装路径是 C:WindowsSystem32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线断开网络,结束病毒进程:
%System32%loveRabbit~.exe
使用安天木马防线进程管理功能摘除 winlogon.exe 中的
msexch400.dll 文件 .
(2) 删除病毒释放文件:
[DriveLetter]1.exe
[DriveLetter]1.txt
[DriveLetter]AutoRun.inf
[DriveLetter]Rabbit.exe
%WinDir%GHO.bat
%WinDir%GHO.inf
%WinDir%ILTZ.bat
%WinDir%ILTZ.inf
%WinDir%IOTZ.bat
%WinDir%IOTZ.inf
%System32%JK~.exe
%System32%loveRabbit~.exe
%System32%msexch400.dll
%System32%Rabbit.exe
(3)建议用 Windows 系统光盘恢复 Windows 文件,使用安天木马防线
扫描全盘。