逐梦论坛's Archiver

shillan 发表于 2007-7-19 22:50

tel.xls.exe 病毒的清除

病毒类型:木马  
影响系统:win 9x/me,win 2000/nt,win xp,win 2003  
病毒行为:盗取qq帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取qq帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件发送到指定邮箱。

1.生成文件  
该病毒是一个具有excel图标的exe可执行程序,运行后复制自身到系统目录:
%windows%\svchost.exe
并创建多个副本:
c:\documents and settings\mopery\local settings\temp\~df8785.tmp
c:\documents and settings\mopery\local settings\temp\~dfd1d6.tmp
c:\windows\system32\algsrv.exe
%windows%\session.exe
%windows%\system32%\filekan.exe
%windows%\system32%\socksa.exe
c:\windows\ufdata2000.log

向每个分区根目录复制:
tel.xls.exe
autorun.inf
并创建autorun.inf的副本:
%windows%\backinf.tab

autorun.inf内容:
code:[autorun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\auto\command=tel.xls.exe
shell=auto

2.注册表  
(1)添加启动项  
hkey_local_machine\software\microsoft\windows\currentversion\run  
"asocksrv" = "socksa.exe"  
(2)更改文件夹选项中显示隐藏文件的值hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\checkedvalue 的类型为reg_sz(原本为reg_dword),值为0。
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为excel的图标,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运行。

每隔10秒钟检查复制病毒副本,重写注册表启动项和“显示所有文件和文件夹”设置信息:
从%windows%\session.exe复制还原各分区根目录的tel.xls.exe,从%windows%\backinf.tab复制还原各分区根目录的autorun.inf。

[color=red]查杀方法:[/color]
一、专杀工具:
目前,瑞星、卡巴斯基等已经可以查杀该病毒,也可以这两个专杀工具清除:
http://202.116.83.77/hope/sites/liuzh/data/telxls-kill.rar
http://202.116.83.77/hope/sites/liuzh/data/telxls-kill2.rar

二、手动清除:
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和socksa.exe进程,把它们结束掉。
删除以下各文件:
c:\documents and settings\mopery\local settings\temp\~df8785.tmp
c:\documents and settings\mopery\local settings\temp\~dfd1d6.tmp
c:\windows\system32\algsrv.exe
c:\windows\system32\filekan.exe
c:\windows\system32\socksa.exe
c:\windows\ufdata2000.log

2.删除注册表项:
hklm\software\microsoft\windows\currentversion\run
[asocksrv]socksa.exe
hkcu\software\microsoft\windows\currentversion\run
[bsserver]filekan.exe

3.禁用移动设备的自动运行功能(目的在于避免重新被u盘感染):把下面的代码保存为noautorun.reg,导入注册表即可。  
  
[code]windows registry editor version 5.00  
[hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer]
"nodrivetypeautorun"=dword:000000ff  [/code]  
(将以上文字复制到记事本,另存为noautorun.reg,双击运行即可。此方法比较管用,永决后患)

3.恢复显示所有的文件项:打开regedit,找到  
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall中的checkedvalue,检查它的类型是否为reg_dword,如果不是则删掉 checkedvalue,然后单击右键"新建"- "dword值",并命名为checkedvalue,然后修改它的键值为1。(安全模式下进行,否则删掉后还会立即生成)。

4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根目录下的autorun.inf和tel.xls.exe文件。

5、运行msconfig,把启动项中的“socksa.exe”删除。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.