近日,江民反病毒研究中心监测到,“传奇窃贼”(也叫“传奇终结者”)变种TrojanSpy.Small.g和TrojanSpy.Small.l 正在通过网络大肆传播。
病毒运行后,将创建下列文件:
c:\bbs.exe, 25600字节
c:\web.exe, 26624字节
%WinDir%\assistse.exe, 26624字节
%WinDir%\explorer.com, 25600字节
%WinDir%\h00kdll.dll, 14848字节
%WinDir%\services.exe, 26624字节
%SystemDir%\share.txt, 7字节
%WinDir%\uninstall.exe, 26624字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Net" = %WinDir%\services.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Load" = %WinDir%\assistse.exe
这样,在Windows启动时,病毒就可以自动执行。
该病毒会在每个硬盘分区根目录下建立两个的新文件: bbs.exe 和 web.exe ,这两个文件都是文件夹图标,隐藏属性,很有迷惑性,引诱用户点击。(如图1)
(图1)
在 %WinDir% 目录下生成的 explorer.com 文件也很迷惑人,与explorer.exe 就差一个扩展名(如图2)。病毒经过 UPX 加壳处理,脱掉后可以看出是用Visual C++ 6.0编写的。
(图2)
针对该病毒,江民反病毒专家给出两种查杀方法 :
1. 自动杀毒方法:安装并升级KV2005 到最新的病毒库,全盘查杀就可以彻底地清楚该病毒。
2. 手动杀除解决方法:
(1、)先再任务管理器中结束explorer.com进程,注意:是explorer.com而不是explorer.exe 。(如图3)
(图3)
(2、)再将每个硬盘分区根目录下 bbs.exe 和 web.exe 两个文件删除掉,注意:删除后就不要再打开这个分区了,否则会再次感染。
(3、)删除%WinDir%\explorer.com 文件(注:Windows XP 系统在
C:\windows\explorer.com , Windows2000/NT 系统在C:\WINNT\explorer.com 。)
(4、)最后在注册表中删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Net" = %WinDir%\services.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Load" = %WinDir%\assistse.exe
这两个键值,这样病毒就不会随这机器开机运行了。
