Trojan-Spy.Win32.VB.my

該病毒屬木馬類,病毒運行後衍生病毒檔案,連線網路,下載病毒檔案,修改註冊表,添加啟動項,以達到隨機啟動的目的,修改執行檔的關聯檔案,使執行檔無法正常運行。

基本介紹

  • 中文名落雪變種
  • 外文名:Trojan-Spy.Win32.VB.my
  • 病毒類型: 木馬
  • 公開範圍: 完全公開
基本資料,行為分析,下載病毒檔案,修改註冊表,添加啟動項,修改執行檔的關聯檔案,清除方案,使用防毒軟體,手動清除,相關資料,

基本資料

病毒名稱: Trojan-Spy.Win32
檔案 MD5: D039BF4DE2BFA3799ACCF60530198C65
危害等級: 4
檔案長度: 48,836 位元組
感染系統: windows98以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: NSPack 3.x
命名對照: 驅逐艦 [backdoor.generic.1332]
BitDefender [Trojan.Spy.]

行為分析

下載病毒檔案

%windir%
%windir%\exeroute.exe
%windir%\
%windir%\
%windir%\winlogon.exe
%system32%\command.pif
%system32%\
%system32%\
%system32%\
%system32%\
%system32%\
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\

修改註冊表,添加啟動項

新建註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "Torjan Program "="C:\WINDOWS\WINLOGON.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
鍵值: 字串: "Check_Associations "="No"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\
鍵值: 字串: "@"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\Shell
\Open\Command\
鍵值: 字串: "@"="C:\WINDOWS\ExERoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\
鍵值: 字串: "LocalizedString "="iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\ shell\open\command\
鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif""
修改的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\ Winlogon\
新建鍵值: 字串: "Shell "="Explorer.exe 1"
原鍵值: 字串: "Shell "="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
新建鍵值: 字串: "@"="iexplore.pif"
原鍵值: 字串: "@"="IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
\shell\open\ command\
新建鍵值: 字串: "@"=" shdocvw.dll,OpenURL %l"
原鍵值: 字串: "@"="rundll32.exe shdocvw.dll,OpenURL %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell
\install\command\
新建鍵值: 字串: "@"=" desk.cpl,InstallScreenSaver %l"
原鍵值: 字串: "@"="rundll32.exe desk.cpl,InstallScreenSaver %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
\Shell\Generate Typelib\ command\
新建鍵值: 字串: "@"=""C:\WINDOWS\system32
\" C:\WINDOWS\ system32\scrobj.dll,GenerateTypeLib "%1""
原鍵值: 字串: "@"=""C:\WINDOWS\system32\RUNDLL32.EXE"
C:\WINDOWS\ system32\scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open
\command\
新建鍵值: 字串: "@"=" url.dll,TelnetProtocolHandler %l"
原鍵值: 字串: "@"="rundll32.exe url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew\
新建鍵值: 字串: "Command"="%SystemRoot%\system32\ %SystemRoot%\system32\syncui.dll,Briefcase_Create % 2!d! %1"
原鍵值: 字串: "Command"="%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\
新建鍵值: 字串: "@"="winfiles"
原鍵值: 字串: "@"="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew\
新建鍵值: 字串: "Command "=" appwiz.cpl,NewLinkHere %1"
原鍵值: 字串: "Command "="rundll32.exe appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe
\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\""
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command\
新建鍵值: 字串: "@"=" shell32.dll,Control_RunDLL "%1",%*"
原鍵值: 字串: "@"="rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command\
新建鍵值: 字串: "@"="%SystemRoot%\"
原鍵值: 字串: "@"="%SystemRoot%\Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command\
新建鍵值: 字串: "@"="%SystemRoot%\system32\ NETSHELL.DLL,InvokeDunFile %1"
原鍵值: 字串: "@"="%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL, InvokeDunFile %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\
新建鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\command\
新建鍵值: 字串: "@"=" %SystemRoot%\system32\ mshtml.dll,PrintHTML "%1""
原鍵值: 字串: "@"="rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1"".
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\
新建鍵值: 字串: "@"="%SystemRoot%\System32\ setupapi,InstallHinfSection
DefaultInstall 132 %1"
原鍵值: 字串: "@"="%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

修改執行檔的關聯檔案

註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32
--------------------------------------------------------------------------------

清除方案

使用防毒軟體

安天木馬防線(推薦)

手動清除

手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線進程管理”關閉病毒進程
(2) 刪除病毒檔案
%windir%
%windir%\exeroute.exe
%windir%\
%windir%\
%windir%\winlogon.exe
%system32%\command.pif
%system32%\
%system32%\
%system32%\
%system32%\
%system32%\
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
新建註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "Torjan Program "="C:\WINDOWS\WINLOGON.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
鍵值: 字串: "Check_Associations "="No"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\DefaultIcon\
鍵值: 字串: "@"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\
鍵值: 字串: "@"="C:\WINDOWS\ExERoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\
鍵值: 字串: "LocalizedString "="iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\
shell\open\command\
鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif""
修改的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\ Winlogon\
新建鍵值: 字串: "Shell "="Explorer.exe 1"
原鍵值: 字串: "Shell "="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
新建鍵值: 字串: "@"="iexplore.pif"
原鍵值: 字串: "@"="IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
\shell\open\ command\
新建鍵值: 字串: "@"=" shdocvw.dll,OpenURL %l"
原鍵值: 字串: "@"="rundll32.exe shdocvw.dll,OpenURL %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell
\install\command\
新建鍵值: 字串: "@"=" desk.cpl,Install
ScreenSaver %l"
原鍵值: 字串: "@"="rundll32.exe desk.cpl,Install
ScreenSaver %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
\Shell\Generate Typelib\
command\
新建鍵值: 字串: "@"=""C:\WINDOWS\system32\"
C:\WINDOWS\ system32\scrobj.dll,GenerateTypeLib "%1""
原鍵值: 字串: "@"=""C:\WINDOWS\system32\RUNDLL32.EXE"
C:\WINDOWS\ system32\scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open
\command\
新建鍵值: 字串: "@"=" url.dll,TelnetProtoco
lHandler %l"
原鍵值: 字串: "@"="rundll32.exe url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew\
新建鍵值: 字串: "Command"="%SystemRoot%\system32\ %SystemRoot%\system32\syncui.dll,Briefcase_Create % 2!d! %1"
原鍵值: 字串: "Command"="%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\
新建鍵值: 字串: "@"="winfiles"
原鍵值: 字串: "@"="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew\
新建鍵值: 字串: "Command "=" appwiz.cpl,NewLinkHere %1"
原鍵值: 字串: "Command "="rundll32.exe appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\""
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command\
新建鍵值: 字串: "@"=" shell32.dll,Control_RunDLL "%1",%*"
原鍵值: 字串: "@"="rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command\
新建鍵值: 字串: "@"="%SystemRoot%\"
原鍵值: 字串: "@"="%SystemRoot%\Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command\
新建鍵值: 字串: "@"="%SystemRoot%\system32\NETSHELL.DLL,InvokeDunFile %1"
原鍵值: 字串: "@"="%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL, InvokeDunFile
%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\
新建鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\command\
新建鍵值: 字串: "@"=" %SystemRoot%\system32\ mshtml.dll,PrintHTML "%1""
原鍵值: 字串: "@"="rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1"".
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\
新建鍵值: 字串: "@"="%SystemRoot%\System32\ setupapi,InstallHinfSection DefaultInstall 132 %1"
原鍵值: 字串: "@"="%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

相關資料

落雪木馬,是有大約14個檔案組成的龐大的木馬病毒檔案隊伍,一旦中毒,病毒檔案就象落雪一樣嘩嘩下到電腦中,這也是如此命名它的原因  你找不到pagefile等2個檔案,這不能證明沒有落雪木馬  但從你描述的狀況看,沒有任何能夠證明有落雪木馬的跡象,比如,除了winlogon.exe,落雪木馬主程式也可能是lsass.exe也可能是smss.exe這三個程式的偽裝。但你說只有一個winlogon.exe,應該不是落雪  能插入winlogon.exe進程的木馬也有很多,都可能會修改註冊表,這個症狀也同樣不能證明是落雪。而且落雪木馬不會添加網站到你的系統中  綜合判斷,你並非中了落雪木馬  現在很多木馬病毒都是一群一夥的進入用戶系統,情況很複雜。你現在應該逐個搞清楚,我建議你下載一個HIJACKTHIS,掃描一個系統日誌,發上來,這樣的話就可以對你電腦的狀況做個整體的和精確的分析,究竟哪裡有問題,究竟中的什麼毒。否則,象你現在的描述比較模糊,水平再高也沒法判斷。日誌很重要  至於UPDATE,那是小問題,既可以手動升級,也可以用系統盤修復系統後再自動升級

相關詞條

熱門詞條

聯絡我們