基本資料
病毒名稱: Trojan-Spy.Win32
檔案 MD5: D039BF4DE2BFA3799ACCF60530198C65
危害等級: 4
感染系統: windows98以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: NSPack 3.x
命名對照: 驅逐艦 [backdoor.generic.1332]
BitDefender [Trojan.Spy.]
行為分析
下載病毒檔案
%windir%
%windir%\exeroute.exe
%windir%\
%windir%\
%system32%\command.pif
%system32%\
%system32%\
%system32%\
%system32%\
%system32%\
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\
修改註冊表,添加啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "Torjan Program "="C:\WINDOWS\WINLOGON.EXE"
鍵值: 字串: "Check_Associations "="No"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\
鍵值: 字串: "@"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\Shell
\Open\Command\
鍵值: 字串: "@"="C:\WINDOWS\ExERoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\
鍵值: 字串: "LocalizedString "="iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\ shell\open\command\
鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\ Winlogon\
新建鍵值: 字串: "Shell "="Explorer.exe 1"
原鍵值: 字串: "Shell "="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
新建鍵值: 字串: "@"="iexplore.pif"
原鍵值: 字串: "@"="IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
\shell\open\ command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell
\install\command\
新建鍵值: 字串: "@"=" desk.cpl,InstallScreenSaver %l"
原鍵值: 字串: "@"="rundll32.exe desk.cpl,InstallScreenSaver %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
\Shell\Generate Typelib\ command\
新建鍵值: 字串: "@"=""C:\WINDOWS\system32
\" C:\WINDOWS\ system32\scrobj.dll,GenerateTypeLib "%1""
原鍵值: 字串: "@"=""C:\WINDOWS\system32\RUNDLL32.EXE"
C:\WINDOWS\ system32\scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open
\command\
新建鍵值: 字串: "@"="
url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew\
新建鍵值: 字串: "Command"="%SystemRoot%\system32\ %SystemRoot%\system32\syncui.dll,Briefcase_Create % 2!d! %1"
原鍵值: 字串: "Command"="%SystemRoot%\system32\
rundll32.exe %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\
新建鍵值: 字串: "@"="winfiles"
原鍵值: 字串: "@"="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew\
原鍵值: 字串: "Command "="rundll32.exe
appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\
iexplore.exe\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\
iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\""
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command\
原鍵值: 字串: "@"="rundll32.exe
shell32.dll,Control_RunDLL "%1",%*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command\
新建鍵值: 字串: "@"="%SystemRoot%\"
原鍵值: 字串: "@"="%SystemRoot%\Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command\
新建鍵值: 字串: "@"="%SystemRoot%\system32\ NETSHELL.DLL,InvokeDunFile %1"
原鍵值: 字串: "@"="%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL, InvokeDunFile %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\
新建鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\command\
新建鍵值: 字串: "@"=" %SystemRoot%\system32\
mshtml.dll,PrintHTML "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\
新建鍵值: 字串: "@"="%SystemRoot%\System32\ setupapi,InstallHinfSection
DefaultInstall 132 %1"
原鍵值: 字串: "@"="%SystemRoot%\System32\
rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
修改執行檔的關聯檔案
註:% System%是一個可變路徑。病毒通過查詢
作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案
使用防毒軟體
手動清除
手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%windir%
%windir%\exeroute.exe
%windir%\
%windir%\
%windir%\winlogon.exe
%system32%\command.pif
%system32%\
%system32%\
%system32%\
%system32%\
%system32%\
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\
(3) 恢復病毒修改的
註冊表項目,刪除病毒添加的註冊表項
新建註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "Torjan Program "="C:\WINDOWS\WINLOGON.EXE"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
鍵值: 字串: "Check_Associations "="No"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\DefaultIcon\
鍵值: 字串: "@"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\
鍵值: 字串: "@"="C:\WINDOWS\ExERoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\
鍵值: 字串: "LocalizedString "="iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\
shell\open\command\
鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif""
修改的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\ Winlogon\
新建鍵值: 字串: "Shell "="Explorer.exe 1"
原鍵值: 字串: "Shell "="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
新建鍵值: 字串: "@"="iexplore.pif"
原鍵值: 字串: "@"="IEXPLORE.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
\shell\open\ command\
新建鍵值: 字串: "@"=" shdocvw.dll,OpenURL %l"
原鍵值: 字串: "@"="rundll32.exe shdocvw.dll,OpenURL %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell
\install\command\
新建鍵值: 字串: "@"=" desk.cpl,Install
ScreenSaver %l"
原鍵值: 字串: "@"="rundll32.exe desk.cpl,Install
ScreenSaver %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile
\Shell\Generate Typelib\
command\
新建鍵值: 字串: "@"=""C:\WINDOWS\system32\"
C:\WINDOWS\ system32\scrobj.dll,GenerateTypeLib "%1""
原鍵值: 字串: "@"=""C:\WINDOWS\system32\RUNDLL32.EXE"
C:\WINDOWS\ system32\scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open
\command\
新建鍵值: 字串: "@"=" url.dll,TelnetProtoco
lHandler %l"
原鍵值: 字串: "@"="rundll32.exe url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew\
新建鍵值: 字串: "Command"="%SystemRoot%\system32\ %SystemRoot%\system32\syncui.dll,Briefcase_Create % 2!d! %1"
原鍵值: 字串: "Command"="%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\
新建鍵值: 字串: "@"="winfiles"
原鍵值: 字串: "@"="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew\
新建鍵值: 字串: "Command "=" appwiz.cpl,NewLinkHere %1"
原鍵值: 字串: "Command "="rundll32.exe appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\""
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command\
新建鍵值: 字串: "@"=" shell32.dll,Control_RunDLL "%1",%*"
原鍵值: 字串: "@"="rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command\
新建鍵值: 字串: "@"="%SystemRoot%\"
原鍵值: 字串: "@"="%SystemRoot%\Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command\
新建鍵值: 字串: "@"="%SystemRoot%\system32\NETSHELL.DLL,InvokeDunFile %1"
原鍵值: 字串: "@"="%SystemRoot%\system32\RUNDLL32.EXE NETSHELL.DLL, InvokeDunFile
%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command\
新建鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif" %1"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\print\command\
新建鍵值: 字串: "@"=" %SystemRoot%\system32\
mshtml.dll,PrintHTML "%1""
原鍵值: 字串: "@"="rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1"".
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command\
新建鍵值: 字串: "@"=""C:\Program Files\common~1\iexplore.pif" -nohome"
原鍵值: 字串: "@"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\
新建鍵值: 字串: "@"="%SystemRoot%\System32\ setupapi,InstallHinfSection DefaultInstall 132 %1"
原鍵值: 字串: "@"="%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
相關資料
落雪木馬,是有大約14個檔案組成的龐大的木馬病毒檔案隊伍,一旦中毒,病毒檔案就象落雪一樣嘩嘩下到電腦中,這也是如此命名它的原因 你找不到pagefile等2個檔案,這不能證明沒有落雪木馬 但從你描述的狀況看,沒有任何能夠證明有落雪木馬的跡象,比如,除了
winlogon.exe,落雪木馬主程式也可能是lsass.exe也可能是
smss.exe這三個程式的偽裝。但你說只有一個
winlogon.exe,應該不是落雪 能插入winlogon.exe進程的
木馬也有很多,都可能會修改註冊表,這個症狀也同樣不能證明是落雪。而且
落雪木馬不會添加網站到你的系統中 綜合判斷,你並非中了落雪木馬 現在很多木馬病毒都是一群一夥的進入用戶系統,情況很複雜。你現在應該逐個搞清楚,我建議你下載一個HIJACKTHIS,掃描一個
系統日誌,發上來,這樣的話就可以對你電腦的狀況做個整體的和精確的分析,究竟哪裡有問題,究竟中的什麼毒。否則,象你現在的描述比較模糊,水平再高也沒法判斷。日誌很重要 至於UPDATE,那是小問題,既可以手動升級,也可以用系統盤修復系統後再自動升級