Trojan.Win32.VB.aec
病毒名称: Trojan.Win32.VB.aec
中文名称: 木马
病毒类型: 中
文件 MD5: 0123C51819C1C1DDAE39721C2B21401C
公开范围: 完全公开
危害等级: 高
文件长度: 17,502 字节
感染系统: Win9x以上所有版本
开发工具: VB6.0
加壳类型: NSPack
命名对照: Symentec[无]
Mcafee[无]
病毒描述:
运行此病毒后,病毒会把自己复制多份 到%system%、%windir%等目录下。然后把自己添加到注册表启动项使自己随系统启动。还会修改多处关联文件和一些其它的关联,使得在清除时不好修复.其放出的文件都是隐藏文件.中些木马用户很难彻底清除。此木马与Trojan-PSW.Win32.Lmir.anb传奇木马相似。
行为分析:
1、添加注册表启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun
添加键:Torjan Program
键值:"C:WINNTsmss.exe
2、修改文件关联
HKEY_LOCAL_MACHINESOFTWAREClasses.bfc
ShellNewCommand
原来的: %SystemRoot%system32
undll32.exe
%SystemRoot%system32
syncui.dll,Briefcase_Cr eate %2!d! %1"
修改后:"%SystemRoot%system32
undll32.com %SystemRoot%system32syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINESOFTWAREClasses.exe@
修改后: "winfiles"
原来的: "exefile"
HKEY_LOCAL_MACHINESOFTWAREClasses.lnkShellNewCommand
修改后: "rundll32.com appwiz.cpl,NewLinkHere %1"
原来的: "rundll32.exe appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINESOFTWAREClassesApplications
iexplore.exeshellopencommand@
修改后: ""C:Program FilesInternet Explorer
iexplore.com" %1"
原来的: ""C:Program FilesInternet Explorer
iexplore.exe" %1"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{871C5380-42A0-1069-A2EA-08002B30309D}shell
OpenHomePageCommand@
修改后: ""C:Program FilesInternet Explorer
iexplore.com""
原来的: ""C:Program FilesInternet Explorer
iexplore.exe
HKEY_LOCAL_MACHINESOFTWAREClassescplfile
shellcplopencommand@
修改后: "rundll32.com shell32.dll,Control_RunDLL %1,%*"
原来的: "rundll32.exe shell32.dll,Control_RunDLL %1,%*"
HKEY_LOCAL_MACHINESOFTWAREClassesDrive
shellfindcommand@
修改后: "%SystemRoot%explorer.com"
原来的: "%SystemRoot%explorer.exe
HKEY_LOCAL_MACHINESOFTWAREClassesdunfile
shellopencommand@
修改后: "%SystemRoot%system32
undll32.com
NETSHELL.DLL,InvokeDunFile %1"
原来的: "%SystemRoot%system32
undll32.com
NETSHELL.DLL,InvokeDunFile %1"
HKEY_LOCAL_MACHINESOFTWAREClassesfile
shellopencommand@
修改后: "rundll32.com url.dll,FileProtocolHandler %l"
原来的: "rundll32.exe url.dll,FileProtocolHandler %l"
HKEY_LOCAL_MACHINESOFTWAREClassesftp
shellopencommand@
修改后: ""C:Program FilesInternet Explorer
iexplore.com" %1"
原来的: ""C:Program FilesInternet Explorer
iexplore.exe" %1"
HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfile
shellopencommand@
修改后: ""C:Program FilesInternet Explorer
iexplore.com" -nohome"
原来的: ""C:Program FilesInternet Explorer
iexplore.exe" -nohome"
HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfile
shellopennewcommand@
修改后: ""C:Program Filescommon~1
iexplore.pif""
原来的: ""C:Program FilesInternet Explorer
iexplore.exe"""
HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfile
shellprintcommand@
修改后: "rundll32.com %SystemRoot%System32
mshtml.dll,PrintHTML "%1""
原来的: "rundll32.com %SystemRoot%System32
mshtml.dll,PrintHTML "%1""
HKEY_LOCAL_MACHINESOFTWAREClasseshttp
shellopencommand@
修改后: ""C:Program Filescommon~1
iexplore.pif" -nohome"
原来的: ""C:Program FilesInternet Explorer
iexplore.exe" -nohome"
HKEY_LOCAL_MACHINESOFTWAREClassesinffile
shellInstallcommand@
修改后: "%SystemRoot%System32
undll32.com
setupapi,InstallHinfSection
DefaultInstall 132 %1"
原来的: "%SystemRoot%System32
undll32.exe
setupapi,InstallHinfSection
DefaultInstall 132 %1"
HKEY_LOCAL_MACHINESOFTWAREClassesInternetShortcut
shellopencommand@
修改后: "finder.com shdocvw.dll,OpenURL %l"
原来的: "rundll32.exe shdocvw.dll,OpenURL %l"
HKEY_LOCAL_MACHINESOFTWAREClassesscrfile
shellinstallcommand@
修改后: "finder.com desk.cpl,InstallScreenSaver %l"
原来的: "rundll32.exe desk.cpl,InstallScreenSaver %l"
HKEY_LOCAL_MACHINESOFTWAREClassesscriptletfile
ShellGenerate Typelibcommand@
修改后: ""C:WINNTSystem32finder.com"
C:WINNTSystem32scrobj.dll,GenerateTypeLib "%1""
原来的: ""C:WINNTSystem32RUNDLL32.EXE"
C:WINNTSystem32scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINESOFTWAREClasseselnet
shellopencommand@
修改后: "finder.com url.dll,TelnetProtocolHandler %l"
原来的: "rundll32.exe url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINESOFTWAREClassesUnknown
shellopenascommand@
修改后: "%SystemRoot%system32finder.com
%SystemRoot%system32shell32.dll,OpenAs_RunDLL %1"
原来的: "%SystemRoot%system32finder.com
%SystemRoot%system32shell32.dll,OpenAs_RunDLL %1"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSharedTools
MSInfoToolSetsMSInfohdwwizcommand
修改后: "C:WINNTSystem32command.pif"
原来的: "C:WINNTSystem32
undll32.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
CurrentVersionWinlogonShell
修改后: "Explorer.exe 1"
原来的: "Explorer.exe"
HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles
HKEY_LOCAL_MACHINESOFTWAREClasseswinfilesDefaultIcon
HKEY_LOCAL_MACHINESOFTWAREClasseswinfilesDefaultIcon@
值: 字符串: "%1"
HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles
Shell
HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles
ShellOpen
HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles
ShellOpenCommand
HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles
ShellOpenCommand@
值: 字符串: "C:WINNTExERoute.exe "%1" %*"
3、释放文件
%windir%下释放5个隐藏文件
1.com
exeroute.exe
explorer.com
finder.com
smss.exe
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502
系统属性:隐藏只读
系统属性:隐藏只读
系统属性:隐藏只读
系统属性:隐藏只读
%system%下释放6个隐藏文件
command.pif
dxdiag.com
finder.com
msconfig.com
regedit.com
rundll32.com
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502
大小: 17,502 系统属性:隐藏只读
系统属性:隐藏只读
系统属性:隐藏只读
系统属性:隐藏只读
系统属性:隐藏只读
系统属性:隐藏只读
Program FilesInternet Explorer下释放1个隐藏文件
Iexplore 大小: 17,502 系统属性:隐藏只读
Program FilesCommon Files下释放1个隐藏文件
Iexplore 大小: 17,502 系统属性:隐藏只读
%windir%Debug下释放1个隐藏文件
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项