Worm.Win32.Rabbit.a

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Worm.Win32.Rabbit.a

中文名称：兔子

病毒类型：蠕虫类

文件 MD5： c1d4ed9b369d8f37743d42105d716a5b

公开范围：完全公开

危害等级： 5

文件长度：加壳后 195,313 字节，脱壳后446,464 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳类型： RLPack

病毒描述：

该病毒运行后，连接网络下载病毒体到本机运行。衍生病毒副本到系统目录，添加注册表IE

扩展项以跟随IE启动。插入病毒线程到Winlogon进程中，不断检测病毒进程是否存在，如无则创

建。并禁用掉注册表，查寻不利病毒程序予以关闭，例如gpedit.msc。遍历ProgramFiles目录，

替换扩展名为.EXE的文件为病毒副本。

行为分析：

1 、衍生病毒文件到下列目录：

[DriveLetter]1.exe

[DriveLetter]1.txt

[DriveLetter]AutoRun.inf

[DriveLetter]Rabbit.exe

%WinDir%GHO.bat

%WinDir%GHO.inf

%WinDir%ILTZ.bat

%WinDir%ILTZ.inf

%WinDir%IOTZ.bat

%WinDir%IOTZ.inf

%System32%JK~.exe

%System32%loveRabbit~.exe

%System32%msexch400.dll

%System32%Rabbit.exe

2 、新建下列注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalledComponents

{ 4bf41072-b2b1-21c1-b5c1-0305f4155515 }StubPath

Value: String: "%WinDirsystem32JK~.exe"

3 、删除下列注册表键值：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

InternetSettings5.0CacheExtensible Cache

MSHist012007041020070411CachePrefix

Value: String: ":2007041020070411: "

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

Internet Settings5.0CacheExtensible Cache

MSHist012007041020070411CacheRepair

Value: DWORD: 0 (0)

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot

Minimal{ 4D36E967-E325-11CE-BFC1-08002BE10318 }@

Value: String: "DiskDrive"

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot

Network{ 4D36E967-E325-11CE-BFC1-08002BE10318 }@

Value: String: "DiskDrive"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot

Minimal{ 4D36E967-E325-11CE-BFC1-08002BE10318 }@

Value: String: "DiskDrive"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot

Network{ 4D36E967-E325-11CE-BFC1-08002BE10318 }@

Value: String: "DiskDrive"

4 、病毒调用下列 .bat 及 .inf 文件，遍历 ProgramFiles 目录，搜索 .EXE 文件，替换为

病毒副本 , 同时搜索 .GHO 文件，替换为病毒副本，以防止用户恢复备份。

%WinDir%GHO.bat

%WinDir%GHO.inf

%WinDir%ILTZ.bat

%WinDir%ILTZ.inf

%WinDir%IOTZ.bat

%WinDir%IOTZ.inf

5 、由于病毒替换掉正常可执行程序，原有程序正常关联仍存在，所以，当用户调用正常程序时，

如 IE ，即可能触发病毒体。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

--------------------------------------------------------------------------------

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用安天木马防线断开网络，结束病毒进程：

%System32%loveRabbit~.exe

使用安天木马防线进程管理功能摘除 winlogon.exe 中的

msexch400.dll 文件 .

(2) 删除病毒释放文件：

[DriveLetter]1.exe

[DriveLetter]1.txt

[DriveLetter]AutoRun.inf

[DriveLetter]Rabbit.exe

%WinDir%GHO.bat

%WinDir%GHO.inf

%WinDir%ILTZ.bat

%WinDir%ILTZ.inf

%WinDir%IOTZ.bat

%WinDir%IOTZ.inf

%System32%JK~.exe

%System32%loveRabbit~.exe

%System32%msexch400.dll

%System32%Rabbit.exe

(3)建议用 Windows 系统光盘恢复 Windows 文件，使用安天木马防线

扫描全盘。