該病毒為Windows平臺下集成可執行文件感染、網絡感染、下載網絡木馬或其它病毒的復合型病毒,病毒運行後將自身偽裝成系統正常文件,以迷惑用戶,通過修改註冊表項使病毒開機時可以自動運行,同時病毒通過線程註入技術繞過防火墻的監視,連接到病毒作者指定的網站下載特定的木馬或其它病毒,同時病毒運行後枚舉內網的所有可用***享,並嘗試通過弱口令方式連接感染目標計算機。 運行過程過感染用戶機器上的可執行文件,造成用戶機器運行速度變慢,破壞用戶機器的可執行文件,給用戶安全性構成危害。 病毒主要通過***享目錄、文件捆綁、運行被感染病毒的程序、可帶病毒的郵件附件等方式進行傳播。
危害文件
1、病毒運行後將自身復制到Windows文件夾下,文件名為: %SystemRoot%\rundl132.exe 2、運行被感染的文件後,病毒將病毒體復制到為以下文件: %SystemRoot%\logo_1.exe 3、同時病毒會在病毒文件夾下生成: 病毒目錄\vdll.dll 4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成: _desktop.ini (文件屬性:系統、隱藏。) 5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。 6、病毒通過添加如下註冊表項實現病毒開機自動運行: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\rundl132.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe" 7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程序,查找到窗體後發送消息關閉該程序。 8、枚舉以下殺毒軟件進程名,查找到後終止其進程: Ravmon.exe Eghost.exe Mailmon.exe KAVPFW.EXE IPARMOR.EXE Ravmond.exe 9、同時病毒嘗試利用以下命令終止相關殺病毒軟件: net stop "Kingsoft AntiVirus Service" 10、發送ICMP探測數據"Hello,World",判斷網絡狀態,網絡可用時, 枚舉內網所有***享主機,並嘗試用弱口令連接\\IPC$、\admin$等***享目錄,連接成功後進行網絡感染。 11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件: system system32 windows Documents and settings system Volume Information Recycled winnt Program Files Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer ComPlus Applications NetMeeting Common Files Messenger Microsoft Office InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gaming Zone 12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性註入以下進程名對應的進程: Explorer Iexplore 找到符合條件的進程後隨機註入以上兩個進程中的其中壹個。 13、當外網可用時,被註入的dll文件嘗試連接壹些網站下載並運行相關程序,位置具體為:c:\1.txt、:%SystemRoot%\0Sy.exe、:%SystemRoot%\1Sy.exe、:%SystemRoot%\2Sy.exe 14、病毒會將下載後的"1.txt"的內容添加到以下相關註冊表項: [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] "auto"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows] "ver_down0"="[boot loader]\\\\\\\\\\\\\\\\ " "ver_down1"="[boot loader] timeout=30 [operating systems] multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////" "ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
DESKTOP病毒的清除方法
1、釋放自身以及感染exe文件後生成 C:\WINDOWS\rundl132.exe C:\WINDOWS\logo_1.exe 病毒所在目錄\vidll.dll 2、添加註冊表信息 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “load” “C:\WINDOWS\rundl132.exe” [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] “load” “C:\WINDOWS\rundl132.exe” [HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW] “auto”=“1” 3、感染部分exe文件,並在被感染exe文件所在目錄釋放_desktop.ini 4、修改hosts文件 C:\WINDOWS\system32\drivers\etc\hosts 5、vidll.dll插入到進程explorer.exe或iexplore.exe 6、停掉部分安全軟件的進程
解決過程
1、關閉rundl132.exe的進程,並刪除 C:\WINDOWS\rundl132.exe 2、搜索找到並刪除vidll.dll 可以通過SSM自動啟動來禁用vidll.dll,重新啟動後刪除vidll.dll 或停止其插入的進程,再刪除該dll文件,如果它插入了explorer.exe這個進程,那麽 打開任務管理器(ALT CTRL Delete),結束掉explorer.exe這個進程,刪除vidll.dll文件 然後用任務管理器上面的標簽 文件===新建任務===瀏覽,找到並運行 C:\WINDOWS\Explorer.exe 3、刪除其在註冊表中創建的信息及其他病毒文件_desktop.ini、logo_1.exe 4、修復被更改的hosts文件,hosts文件用記事本打開 C:\WINDOWS\system32\drivers\etc\hosts
DESKTOP的清除方式
電腦中了desktop.ini病毒之後會在硬盤所有的分區內創建若幹個諸如desktop_1.ini、desktop_2.ini之類的病毒體,壹般在系統下刪除這些文件中的任何壹個,病毒馬上就會新建壹個壹樣的文件。通常遇到這樣的病毒體,我們可以壹次性在DOS下刪除所有分區的病毒體,這個就需要借助批處理了。具體做法如下: 打開記事本,然後復制如下代碼進去: 再改成bat格式 cd \ c: del Desktop_*.ini /f /s /q /ah cd \ d: del Desktop_*.ini /f /s /q /ah cd \ e: del Desktop_*.ini /f /s /q /ah cd \ f: del Desktop_*.ini /f /s /q /ah cd \ g: del Desktop_*.ini /f /s /q /ah 然後雙擊運行即可刪除所有的病毒體了。 壹些常見疑問: 1:管理工具文件夾裏面的desktop.ini中[LocalizedFileNames]這個什麽意思? 答:[LocalizedFileNames]是“局限性文件名稱”也就是控制文件的標識。 2:壹個desktop.ini裏面 [.shellclassinfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21762 這個起什麽作用? 前面LocalizedResourceName這個又是起什麽作用? 後面-21762這個又是起什麽作用?根據什麽原理? 答:LocalizedResourceName是“局限性資源名稱”後面的是名稱引用的地址,註意SHELL32.DLL動態鏈接庫中記錄了很多這類的信息,還包括圖標ICO的地址,最後的-21762是壹個ID,也可以理解成INDEX索引。 3:壹個desktop.ini裏面 InfoTip是指向文件夾時的說明, 但是infotip=@Shell32.dll,-12690這個什麽意思 答:參考第二個問題就不難理解了,infotip是“信息提示”後邊連接還是SHELL32.DLL。後面的-12690也是壹個索引編號。 4:壹個desktop.ini裏面 IconFile是指圖標的文件夾路徑 IconFile=%SystemRoot%\system32\SHELL32.dll ICONINDEX=-238是指圖表文件名, 但是-238是哪個圖標,這些圖標放在哪個文件夾, 怎麽可以清楚的看到這些圖標的列表, 以及外面引用的數字代表的是哪個圖標,比如說-238是代表哪個圖標。 答:繼續參考前兩個問題的答案,ICONFILE是“ICO圖標文件”,後面的我不再多解釋了。至於如何找到這個圖標,可以通過任意壹個快捷方式的屬性中的選擇圖標選項中查找圖片,然後再對照索引來定位所指定的圖片。 5:壹個desktop.ini裏面 [DeleteOnCopy] Owner=Jed Personalized=14 PersonalizedName=My Videos 這些什麽意思? 答:這應該是“我的文檔”中“我的視頻”文件夾中的desktop.ini。“Owner=Jed”的意思是當前文件夾是屬於“Jed”這個用戶的,“Personalized=14”的意思是私人使用的私有化屬性,14是什麽意思沒弄明白,“PersonalizedName=My Videos”的意思是此私有文檔名稱為“My Videos”。 6:壹個desktop.ini裏面,開頭 ; ==++== ; ; Copyright (c) Microsoft Corporation. All rights reserved. ; ; ==--== 這些是什麽意思? 是不是跟HTML代碼的<!-- -->中註釋的功能壹樣呢? 如果是,那具體的格式是什麽? 答:這個很簡單,是指此段代碼的所有權為“Microsoft”。這個很多地方都能看到,比如很多網站下面會寫明“Copyright (c) 某某公司 Corporation. All rights reserved.”意思就是所有權歸屬。 7:壹個desktop.ini裏面 [.ShellClassInfo] CLSID= ConfirmFileOp=1 InfoTip=Contains application stability information. 這個什麽意思? 答:這應該是受系統保護的文件夾中的desktop.ini,是用來指明ShellClass信息的,“CLSID=”是指class的ID在註冊表中的地址是“1D2680C9-0E2A-469d-B787-065558BC7D43”,“InfoTip=Contains application stability information”為信息提示。請參考第3個問題的答案。 8:xp字體文件夾(c:\windows\fonts\)中的desktop.ini [.ShellClassInfo] UICLSID= 這個什麽意思? 答:參考第7個問題不難理解,“UICLSID=”的意思是字體樣式的ID在註冊表中的[1]地址為“BD84B380-8CA2-1069-AB1D-08000948F534”。 9:xp中C:\Documents and Settings\Default User\SendTo\desktop.ini中的 [LocalizedFileNames] 郵件接收者.MAPIMail=@sendmail.dll,-4 桌面快捷方式.DeskLink=@sendmail.dll,-21 什麽意思? 答:“LocalizedFileNames”的意思就不說了,前面有。後面的問題直接按英文意思解釋就可以了,壹個是“郵件接收者”壹個是“桌面快捷方式”,分別使用的動態鏈接庫都是“sendmail.dll”只是ID不同,壹個是4、壹個是21。 10:壹個desktop.ini ----------------------------------- [.shellclassinfo] iconindex=mainicon iconfile=d:\千千靜聽\\ttplayer.exe ----------------------------------- 中的mainicon改成1或者2的話,外面文件夾的圖標會改變, 但是iconfile=*.*是支持什麽格式的圖標呢?我只知道exe程序圖標是支持的,ico格式應該也能支持, 試了BMP。JPG之類的都是不支持的。 答:“iconindex=mainicon ”的意思是ICO圖標索引為主圖片,也就是默認圖標。“iconfile=d:\千千靜聽\\ttplayer.exe ”說明圖標文件的位置是“d:\千千靜聽\\ttplayer.exe ”,這裏要解釋壹下,壹般EXE文件中都包含ICO圖標文件,還有就是WINDOWS的圖標不支持BMP、JPG、GIF等圖片格式,如果想使用的話可以用ICO文件轉換工具進行轉換,另外在編程軟件中都會提供此類轉換功能。 11:ConfirmFileOp=0這句什麽意思? 答:確認文件選項為0,至於0代表什麽設置個人估計是默認設置,不行妳換成1看看有什麽變化。