|   
 
 | 
| 病毒类型:木马 影响系统:win 9x/me,win 2000/nt,win xp,win 2003
 病毒行为:盗取qq帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取qq帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件发送到指定邮箱。
 
 1.生成文件
 该病毒是一个具有excel图标的exe可执行程序,运行后复制自身到系统目录:
 %windows%\svchost.exe
 并创建多个副本:
 c:\documents and settings\mopery\local settings\temp\~df8785.tmp
 c:\documents and settings\mopery\local settings\temp\~dfd1d6.tmp
 c:\windows\system32\algsrv.exe
 %windows%\session.exe
 %windows%\system32%\filekan.exe
 %windows%\system32%\socksa.exe
 c:\windows\ufdata2000.log
 
 向每个分区根目录复制:
 tel.xls.exe
 autorun.inf
 并创建autorun.inf的副本:
 %windows%\backinf.tab
 
 autorun.inf内容:
 code:[autorun]
 open=tel.xls.exe
 shellexecute=tel.xls.exe
 shell\auto\command=tel.xls.exe
 shell=auto
 
 2.注册表
 (1)添加启动项
 hkey_local_machine\software\microsoft\windows\currentversion\run
 "asocksrv" = "socksa.exe"
 (2)更改文件夹选项中显示隐藏文件的值hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\checkedvalue 的类型为reg_sz(原本为reg_dword),值为0。
 感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为excel的图标,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运行。
 
 每隔10秒钟检查复制病毒副本,重写注册表启动项和“显示所有文件和文件夹”设置信息:
 从%windows%\session.exe复制还原各分区根目录的tel.xls.exe,从%windows%\backinf.tab复制还原各分区根目录的autorun.inf。
 
 查杀方法:
 一、专杀工具:
 目前,瑞星、卡巴斯基等已经可以查杀该病毒,也可以这两个专杀工具清除:
 http://202.116.83.77/hope/sites/liuzh/data/telxls-kill.rar
 http://202.116.83.77/hope/sites/liuzh/data/telxls-kill2.rar
 
 二、手动清除:
 1.删除驻留的病毒程序:打开"任务管理器",找到tel.xls.exe和socksa.exe进程,把它们结束掉。
 删除以下各文件:
 c:\documents and settings\mopery\local settings\temp\~df8785.tmp
 c:\documents and settings\mopery\local settings\temp\~dfd1d6.tmp
 c:\windows\system32\algsrv.exe
 c:\windows\system32\filekan.exe
 c:\windows\system32\socksa.exe
 c:\windows\ufdata2000.log
 
 2.删除注册表项:
 hklm\software\microsoft\windows\currentversion\run
 [asocksrv]socksa.exe
 hkcu\software\microsoft\windows\currentversion\run
 [bsserver]filekan.exe
 
 3.禁用移动设备的自动运行功能(目的在于避免重新被u盘感染):把下面的代码保存为noautorun.reg,导入注册表即可。
 
 
 复制代码windows registry editor version 5.00  
[hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer]
"nodrivetypeautorun"=dword:000000ff  
(将以上文字复制到记事本,另存为noautorun.reg,双击运行即可。此方法比较管用,永决后患)
 
 3.恢复显示所有的文件项:打开regedit,找到
 hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall中的checkedvalue,检查它的类型是否为reg_dword,如果不是则删掉 checkedvalue,然后单击右键"新建"- "dword值",并命名为checkedvalue,然后修改它的键值为1。(安全模式下进行,否则删掉后还会立即生成)。
 
 4.删除病毒文件:打开"文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏受保护的系统文件"复选框的√去除。在各磁盘上用右键选择"打开",删除各个非系统盘根目录下的autorun.inf和tel.xls.exe文件。
 
 5、运行msconfig,把启动项中的“socksa.exe”删除。
 | 
 |