Trojan/VBS.StartPage.dv[Clicker]病毒分析及解决方案
病毒描述:
该恶意代码文件为恶意广告类木马,该病毒文件为包裹捆绑病毒文件,病毒运行后动态加载多个系统DLL文件来获取所需调用的函数,查找并调用名为"RTL"、类型为RT_DIALOG的模板资源,创建一个模态对话框在%TEMP%目录下并释放多个病毒文件,调用VBS脚本来修改添加注册表项,判断注册表IE主页是否为“http://www.109***.com”如是则不执行1.bat,如不是则执行1.bat将1.reg导入注册表实现修改IE主页和隐藏桌面的Internet Explorer浏览器,再运行a.bat来实现将病毒的URL快捷方式文件拷贝到%System32%目录下并在桌面、开始菜单-程序内与桌面快速启动位置创建IE快捷方式,{zh1}删除病毒自身的IEXPLORE.lnk、Internet Explorer.lnk文件。
病毒名称: Trojan/VBS.StartPage.dv[Clicker]
病毒类型: 木马下载器
文件 MD5: A838953857630FB975BB8D369ADB6307
公开范围: xx公开
危害等级: 4
文件长度: 106,405 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
xx方案:
手工xx请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载
()
(1)使用ATOOL工具“注册表管理”对以下注册表修复。
(2)强行删除病毒衍生的文件
%System32%\viebu4icon.ico
%System32%\diricon.ico
%System32%\mensdyicon.ico
%Documents and Settings%\All Users\桌面\Internet Explorer.lnk
%Documents and Settings%\All Users\桌面\创业投资好项目.url
%Documents and Settings%\All Users\「开始」菜单\程序\Internet Explorer.lnk
%Documents and Settings%\All Users\「开始」菜单\Internet Explorer.lnk
%Documents and Settings%\当前所在用户\「开始」菜单\程序\Internet Explorer.lnk
%Documents and Settings%\当前所在用户\「开始」菜单\Internet Explorer.lnk
%Documents and Settings%\当前所在用户\Favorites\网址大全.url
%Documents and Settings%\当前所在用户\Favorites\精彩小游戏.url
%Documents and Settings%\当前所在用户\Favorites\不死高清电影.url
(3)恢复、删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
新: 字符串: "http://www.109***.com/?x"
旧: 字符串: "http://www.baidu.com/"
恢复病毒修改的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
将以上2个DWORD值改为0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{93DA0C80-839B-474D-BCA0-0F3FB983C5CC}User
删除Group Policy Objects键值下的{93DA0C80-839B-474D-BCA0-0F3FB983C5CC}User键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
值: DWORD: 1 (0x1)
将DWORD值改为0
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel\HomePage
值: DWORD: 1 (0x1)
将DWORD值改为0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2BDE352-AB67-EF4B-8643-A56AE98F5733}
删除CLSID键下的{E2BDE352-AB67-EF4B-8643-A56AE98F5733}键
行为分析-网络行为:
协议:TCP
端口:80
域名:http://tc.***.cn
描述:运行后自动弹出网页连接以上地址
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
行为分析-本地行为:
1、病毒运行后动态加载riched32.dll、riched20.dll、COMCTL32.DLL系统DLL文件来获取所需调用的InitCommonControlsEx函数,查找并调用名为"RTL"、类型为RT_DIALOG的模板资源,调用VBS脚本来修改添加注册表项,判断注册表IE主页是否为“http://www.109***.com”如是则不执行1.bat,如不是则执行1.bat将1.reg导入注册表实现修改IE主页和隐藏桌面的Internet Explorer浏览器,在运行a.bat来实现将病毒的URL快捷方式文件拷贝到%System32%目录下并发送到桌面快捷方式及开始菜单-程序内与桌面快速启动位置,{zh1}删除病毒自身的IEXPLORE.lnk、Internet Explorer.lnk文件。
2、文件运行后会释放以下文件
%Temp%\RarSFX0\1.bat (该批处理文件用来调用1.reg对注册表进程修改)
%Temp%\RarSFX0\1.reg (该文件修改注册表隐藏IE浏览器)
%Temp%\RarSFX0\a.bat (该批处理文件拷贝病毒自身的.lnk文件到系统目录)
%Temp%\RarSFX0\b.bat (该批处理文件负责删除病毒的.lnk文件)
%Temp%\RarSFX0\Internet Explorer.lnk (病毒衍生lnk文件链接为http://www.109927.com/?x)
%Temp%\RarSFX0\Internet Explorer.url (病毒衍生url文件来自%System32%目录下)
%Temp%\RarSFX0\qbgwxowa.vbs (病毒衍生脚本文件来控制以上所有衍生的文件的运行)
3、修改、添加注册表项
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
新: 字符串: "http://www.109***.com/?x"
旧: 字符串: "http://www.baidu.com/"
描述:修改IE默认主页
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
描述:修改注册表项隐藏IE浏览器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{93DA0C80-839B-474D-BCA0-0F3FB983C5CC}User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktopCleanupWizard
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktopCleanupWizard
值: DWORD: 1 (0x1)
描述:删除桌面清理向导
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
值: DWORD: 1 (0x1)
描述:禁用注册表工具
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage
值: DWORD: 1 (0x1)
描述:修改IE浏览器使修改IE默认主页变灰色不可更改
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2BDE352-AB67-EF4B-8643-A56AE98F5733}\@
值: 字符串: "Internet Exp1orer"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2BDE352-AB67-EF4B-8643-A56AE98F5733}\DefaultIcon\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe"
描述:添加病毒CLSID使这个值指向iexplore.exe文件()
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2BDE352-AB67-EF4B-8643-A56AE98F5733}\Shell\D\@
值: 字符串: "删除(&D)"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2BDE352-AB67-EF4B-8643-A56AE98F5733}\Shell\Open\@
值: 字符串: "打开主页"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2BDE352-AB67-EF4B-8643-A56AE98F5733}\Shell\Open\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe http://www.109927.com/?x"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2BDE352-AB67-EF4B-8643-A56AE98F5733}\Shell\属性\@
值: 字符串: "属性"
描述:创建病毒CLSID值注册表项,定义标右键打开所显示的菜单
