virus.win32.vb.bu

一、病毒标签：

病毒名称：virus.win32.vb.bu

字串8

病毒类型： VIRUS

文件 MD5：c5461aa17d9ae68fe927b34760f76150

公开范围： 完全公开

危害等级： C级

文件长度： 36.0 KB (36,864 字节)

开发工具： VB6 字串1

加壳类型： 无壳

字串9

二、病毒描述：

病毒通过修改入口点和输入表进行免杀处理，但由于病毒出现的时间已经比较久所以大部分的杀毒软件都可以识别并且查杀，只是大部分用户反映查杀后复发。

字串2

三、行为分析：

字串4

增加注册表启动项目：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "EXPLORER.EXE"

Type: REG_SZ

Data: EXPLORER.EXE

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "wsctf.exe"

Type: REG_SZ

Data: wsctf.exe 字串1

修改USERINIE的启动项目

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon "Userinit"

Old type: REG_SZ

New type: REG_SZ

Old data: C:WINDOWSsystem32userinit.exe,

New data: userinit.exe,EXPLORER.EXE 字串8

生成文件：

c:WINDOWSsystem32EXPLORER.EXE

Date: 10-25-2006 8:32 AM

Size: 36,864 bytes

字串7

四、手工解决方案：

1．删除文件：

用强制删除工具[建议使用MJ写的FileKill360]删除下面列出的文件。

c:WINDOWSsystem32EXPLORER.EXE 字串9

2．删除启动项目[建议使用SRENG查看并删除]：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "EXPLORER.EXE"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "wsctf.exe"

字串1

3．修改注册表：

将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon "Userinit"的值修改为“C:WINDOWSsystem32userinit.exe”。