病毒名稱:Trojan.Win32.VB.atg(Kaspersky)
病毒別名:Worm.FileCopy.u.45056(毒霸)
Trojan.VB.vqy(瑞星)
病毒大小:45,056 字節
加殼方式:N/A
樣本MD5:38f0d47e4bbf2c5f05c51f6c48a90629
樣本SHA1:ac97088838bd44a351e678b53ad77893a89c9720
發現時間:2006.10
更新時間:2006.10
關聯病毒:
傳播方式:可通過可移動磁盤、共享驅動器等途徑傳播
技術分析
病毒是一個具有Excel圖標的EXE可執行程序,運行后復制自身到系統目錄:
%Windows%\svchost.exe
并創建多個副本:
%Windows%\Session.exe
%Windows%\System32%\FileKan.exe
%Windows%\System32%\SocksA.exe向每個分區根目錄復制:
tel.xls.exe
AUTORUN.INF
并創建AUTORUN.INF的副本:
%Windows%\BACKINF.TABAUTORUN.INF內容:
CODE:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto創建啟動項:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"破壞“顯示所有文件和文件夾”設置:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"每隔10秒鐘檢查復制病毒副本,重寫注冊表啟動項和“顯示所有文件和文件夾”設置信息:
從%Windows%\Session.exe復制還原各分區根目錄的tel.xls.exe,從%Windows%\BACKINF.TAB復制還原各分區根目錄的AUTORUN.INF。
清除步驟
1. 結束病毒進程:
%Windows%\svchost.exe2. 刪除病毒文件:
%Windows%\Session.exe
%Windows%\svchost.exe
%Windows%\BACKINF.TAB
%Windows%System32%\FileKan.exe
%Windows%System32%\SocksA.exe3. 通過磁盤分區右鍵菜單進入根目錄,右鍵點擊分區盤符,點擊菜單中的“打開”進入分區根目錄,刪除根目錄下的文件:
tel.xls.exe
AUTORUN.INF4. 刪除病毒啟動項:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"5. 修改“顯示所有文件和文件夾”設置,到注冊表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
刪除右邊病毒創建的字符串值:"CheckedValue"="0"
新建DWORD值,名稱:CheckedValue,數據:1如果不會結束進程的操作,而且系統已經設置顯示所有文件和文件夾,也可以嘗試以下另外一種清除方法:
1. 刪除病毒文件:
%Windows%\Session.exe
%Windows%\BACKINF.TAB
%Windows%\system32%\FileKan.exe
%Windows%\system32%\SocksA.exe2. 通過磁盤分區右鍵菜單進入根目錄,右鍵點擊分區盤符,點擊菜單中的“打開”進入分區根目錄,刪除根目錄下的文件:
tel.xls.exe
AUTORUN.INF3. 重新啟動計算機4. 刪除病毒文件:
%Windows%\svchost.exe5. 刪除病毒啟動項:
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"6. 修改“顯示所有文件和文件夾”設置,到注冊表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
刪除右邊病毒創建的字符串值:"CheckedValue"="0"
新建DWORD值,名稱:CheckedValue,數據:1
