档案编号:CISRT2006083
病毒名称:Virus.Win32.Dzan.a(Kaspersky)
清除Virus.Win32.Dzan.a后:Trojan.Win32.VB.atg(Kaspersky)
病毒别名:Worm.Suser.a(瑞星)
病毒大小:110,592 字节
清除Virus.Win32.Dzan.a后:45,056 字节
加壳方式:N/A
样本MD5:3dc040cb3a352a8577f44a1ff8ef8ca8
样本SHA1:acf12d3a843126cc98efd9f8e77c1cf14b027a70
发现时间:2006.11
更新时间:2006.11
关联病毒:
传播方式:通过恶意网页传播,其它
木马下载,可移动存储设备(如U盘、MP3、移动硬盘)
技术分析==========
这个tel.xls.exe是CISRT2006059的变种,行为较之更为恶劣,我们发现这个样本会感染其它exe文件,但是,经过分析发现此文件是被另外一个感染型病毒所感染,本身并不具备感染文件的行为。
tel.xls.exe原始文件大小为45056字节(Trojan.Win32.VB.atg),和CISRT2006059的一样,运行后复制自身到系统目录:
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
在每个驱动器根目录复制副本:
X:\tel.xls.exe
X:\autorun.inf
在系统目录创建autorun.inf的副本:
%Windows%\BACKINF.TAB
autorun.inf内容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
tel.xls.exe每10秒从%Windows%\session.exe重写X:\tel.xls.exe,从%Windows%\BACKINF.TAB重写X:\autorun.inf。
修改注册表破坏“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"
由于被病毒(Virus.Win32.Dzan.a)感染,导致它和之前变种CISRT2006059有较大的差别。
被感染的tel.xls.exe运行后释放%System%\mmc.exe,覆盖系统“管理控制台”程序,这意味着系统的管理控制台无法打开,比如“计算机管理”、“服务”等。
创建服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
显示名:Smart Card Supervisor
可执行文件的路径:%System%\mmc.exe
mmc.exe就是感染型文件的原程序,它常驻内存遍历目录感染exe文件,也包括系统文件,当系统文件被感染时系统会弹出“Windows文件保护”的对话框(如图):
[1] [2] 下一页
[组图]被感染的tel.xls.exe mmc.exe 解决方案
您现在的位置: