Virus/Win32.Small.l分析
一、病毒标签:病毒名称: Virus/Win32.Small.l
病毒类型: 病毒
文件 MD5: C382A0C5407EDF42A4CBBDE65BC2E5DB
公开范围: 完全公开
危害等级: 4
文件长度: 54,474 字节
感染系统: Windows98以上版本
加壳类型: UPolyX v0.5 *
二、病毒描述:
该病毒运行后复制自身到系统目录,衍生病毒文件。 修改注册表,添加启动项,以达到随机启动的目的。 以CreateMutexA创建互斥体Angry Angel v3.0,防止多个病毒体重复运行。感染各个逻辑驱动器下的exe文件,在exe文件中增加最后一个节的大小,写入病毒,并修改该节的虚拟大小,原始大小与节属性等。尝试访问相关网站下载其它恶意程序。
三、行为分析:
本地行为:
1、 文件运行后会衍生以下文件
%WinDir%\SVCHOST.EXE 54,474 字节
%WinDir%\SVCHOST.INI 43字节
%WinDir%\MDM.EXE 22,016 字节
%System32%\Serverx.exe 9,418字节
%DriveLetter%\ AutoRun.inf 149字节
%DriveLetter%\ RavMon.exe 54,474 字节
2、 新建注册表
注册表值:"Serverx"
类型: REG_SZ
值: "C:\WINDOWS\system32\Serverx.exe
描述:添加启动项,以达到随机启动的目的
3、 新建注册表
注册表值:"SVCHOST"
类型: REG_SZ
值: "C:\WINDOWS\MDM.EXE"
描述:添加启动项,以达到随机启动的目的
4、修改注册表
新: DWORD: 2 (0x2)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见
5、修改注册表
新: 字符串: "0"
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见
6、遍历各个逻辑驱动器,感染exe文件。感染方式是将exe文件增加最后一个节的大小,写入病毒,并修改该节的虚拟大小,原始大小与节属性。同时修改映像大小与入口点。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
%WinDir%\SVCHOST.EXE
(2) 强行删除病毒文件
%WinDir%\SVCHOST.EXE
%WinDir%\SVCHOST.INI
%WinDir%\MDM.EXE
%System32%\Serverx.exe
%DriveLetter%\ AutoRun.inf
%DriveLetter%\ RavMon.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
删除注册表
注册表值:" Serverx"
类型: REG_SZ
值: "C:\WINDOWS\system32\Serverx.exe
删除注册表
注册表值:" SVCHOST "
类型: REG_SZ
值: "C:\WINDOWS\MDM.EXE"
恢复注册表
DWORD: 1 (0x1)
恢复注册表
DWORD: 1 (0x1)
页:
[1]