|
病毒类型:木马
影响系统:win 9x/me,win 2000/nt,win xp,win 2003
病毒行为:盗取qq帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取qq帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件发送到指定邮箱。
1.生成文件
该病毒是一个具有excel图标的exe可执行程序,运行后复制自身到系统目录:
%windows%\svchost.exe
并创建多个副本:
c:\documents and settings\mopery\local settings\temp\~df8785.tmp
c:\documents and settings\mopery\local settings\temp\~dfd1d6.tmp
c:\windows\system32\algsrv.exe
%windows%\session.exe
%windows%\system32%\filekan.exe
%windows%\system32%\socksa.exe
c:\windows\ufdata2000.log
向每个分区根目录复制:
tel.xls.exe
autorun.inf
并创建autorun.inf的副本:
%windows%\backinf.tab
autorun.inf内容:
code:[autorun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\auto\command=tel.xls.exe
shell=auto
2.注册表
(1)添加启动项
hkey_local_machine\software\microsoft\windows\currentversion\run
"asocksrv" = "socksa.exe"
(2)更改文件夹选项中显示隐藏文件的值hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\checkedvalue 的类型为reg_sz(原本为reg_dword),值为0。
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为excel的图标,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运行。
每隔10秒钟检查复制病毒副本,重写注册表启动项和“显示所有文件和文件夹”设置信息:
从%windows%\session.exe复制还原各分区根目录的tel.xls.exe,从%windows%\backinf.tab复制还原各分区根目录的autorun.inf。
查杀方法:
一、专杀工具:
目前,瑞星、卡巴斯基等已经可以查杀该病毒,也可以这两个专杀工具清除:
http://202.116.83.77/hope/sites/liuzh/data/telxls-kill.rar
http://202.116.83.77/hope/sites/liuzh/data/telxls-kill2.rar
二、手动清除:
1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和socksa.exe进程,把它们结束掉。
删除以下各文件:
c:\documents and settings\mopery\local settings\temp\~df8785.tmp
c:\documents and settings\mopery\local settings\temp\~dfd1d6.tmp
c:\windows\system32\algsrv.exe
c:\windows\system32\filekan.exe
c:\windows\system32\socksa.exe
c:\windows\ufdata2000.log
2.删除注册表项:
hklm\software\microsoft\windows\currentversion\run
[asocksrv]socksa.exe
hkcu\software\microsoft\windows\currentversion\run
[bsserver]filekan.exe
3.禁用移动设备的自动运行功能(目的在于避免重新被u盘感染):把下面的代码保存为noautorun.reg,导入注册表即可。
- windows registry editor version 5.00
- [hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer]
- "nodrivetypeautorun"=dword:000000ff
复制代码
(将以上文字复制到记事本,另存为noautorun.reg,双击运行即可。此方法比较管用,永决后患)
3.恢复显示所有的文件项:打开regedit,找到
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall中的checkedvalue,检查它的类型是否为reg_dword,如果不是则删掉 checkedvalue,然后单击右键"新建"- "dword值",并命名为checkedvalue,然后修改它的键值为1。(安全模式下进行,否则删掉后还会立即生成)。
4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根目录下的autorun.inf和tel.xls.exe文件。
5、运行msconfig,把启动项中的“socksa.exe”删除。 |
|