江民公布传奇窃贼最新变种查杀完整解决方案

　　近日，江民反病毒研究中心监测到，“传奇窃贼”(也叫“传奇终结者”)变种TrojanSpy.Small.g和TrojanSpy.Small.l 正在通过网络大肆传播。

　　病毒运行后，将创建下列文件:

　　c:\bbs.exe, 25600字节

　　c:\web.exe, 26624字节

　　%WinDir%\assistse.exe, 26624字节

　　%WinDir%\explorer.com, 25600字节

　　%WinDir%\h00kdll.dll, 14848字节

　　%WinDir%\services.exe, 26624字节

　　%SystemDir%\share.txt, 7字节

　　%WinDir%\uninstall.exe, 26624字节

　　在注册表中添加下列启动项:

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"Net" = %WinDir%\services.exe

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

　　"Load" = %WinDir%\assistse.exe

　　这样，在Windows启动时，病毒就可以自动执行。

　　该病毒会在每个硬盘分区根目录下建立两个的新文件: bbs.exe 和 web.exe ，这两个文件都是文件夹图标，隐藏属性，很有迷惑性，引诱用户点击。(如图1)

　　(图1)

　　在 %WinDir% 目录下生成的 explorer.com 文件也很迷惑人，与explorer.exe 就差一个扩展名(如图2)。病毒经过 UPX 加壳处理，脱掉后可以看出是用Visual C++ 6.0编写的。

　　(图2)

　　针对该病毒，江民反病毒专家给出两种查杀方法 :

　　1. 自动杀毒方法:安装并升级KV2005 到最新的病毒库，全盘查杀就可以彻底地清楚该病毒。

　　2. 手动杀除解决方法:

　　(1、)先再任务管理器中结束explorer.com进程，注意:是explorer.com而不是explorer.exe 。(如图3)

　　(图3)

　　(2、)再将每个硬盘分区根目录下 bbs.exe 和 web.exe 两个文件删除掉，注意:删除后就不要再打开这个分区了，否则会再次感染。

　　(3、)删除%WinDir%\explorer.com 文件(注:Windows XP 系统在

　　C:\windows\explorer.com ， Windows2000/NT 系统在C:\WINNT\explorer.com 。)

　　(4、)最后在注册表中删除

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"Net" = %WinDir%\services.exe

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

　　"Load" = %WinDir%\assistse.exe

　　这两个键值，这样病毒就不会随这机器开机运行了。