廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1719 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x1
[病毒蠕蟲] Email-Worm.Win32.Rays分析
Email-Worm.Win32.Rays分析

一、病毒標簽:
病毒名稱: Email-Worm.Win32.Rays
病毒類型: 蠕蟲類
文件 MD5: 44BE9425394FF910ADB2494981B54C16
公開範圍: 完全公開
危害等級: 4
文件長度: 53,248 字節
感染係統: Windows98以上版本
開發工具: 53,248 字節
加殼類型: 無

二、病毒描述:

該病毒爲蠕蟲類,病毒運行後複制自身到係統目錄,衍生病毒文件。 修改注冊表,添加啓動項,以達到隨機啓動的目的。修改注冊表使隱藏文件不可見; 連接網絡,以自身爲郵件附件發送Email。

三、行爲分析:

1、 文件運行後會衍生以下文件
%WinDir%\ Mstray.exe             53,248字節

2、 新建注冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注冊表值:" RavTimeXP "
類型: REG_SZ
值: " C:\WINDOWS\Mstray.exe "
描述:添加啓動項,以達到隨機啓動的目的
  舊: DWORD: 3 (0x3)

3、修改注冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden]
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
描述:使隱藏文件不可見
 
4、 修改注冊表鍵值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt]
新: DWORD: 1 (0x1)
舊: DWORD: 0 (0)
描述:使隱藏文件不可見

5、連接網絡,以自身爲郵件附件發送Email  

注釋:
%Windir%           WINDODWS所在目錄
%DriveLetter%       邏輯驅動器根目錄
%ProgramFiles%       係統程序默認安裝目錄
%HomeDrive%         當前啓動係統所在分區
%Documents and Settings%   當前用戶文檔根目錄
%Temp%           當前用戶TEMP緩存變量;路徑爲:
%Documents and Settings%\當前用戶\Local Settings\Temp
%System32%         是一個可變路徑;
病毒通過查詢操作係統來決定當前System32文件夾的位置;
Windows2000/NT中默認的安裝路徑是 C:\Winnt\System32;
Windows95/98/Me中默認的安裝路徑是 C:\Windows\System;
WindowsXP中默認的安裝路徑是 C:\Windows\System32。


四、 清除方案:
手工清除請按照行爲分析刪除對應文件,恢複相關係統設置。
 
(1) 強行刪除病毒文件
%WinDir%\ Mstray.exe             53,248字節

(2) 恢複病毒修改的注冊表項目,刪除病毒添加的注冊表項
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注冊表值:" RavTimeXP "
類型: REG_SZ
值: " C:\WINDOWS\Mstray.exe "
描述:添加啓動項,以達到隨機啓動的目的
舊: DWORD: 3 (0x3)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden]
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
描述:使隱藏文件不可見   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\   HideFileExt]
新: DWORD: 1 (0x1)
舊: DWORD: 0 (0)
描述:使隱藏文件不可見



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-12-04 04:45 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.096638 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言