/images/logo4.gif
设为首页  |  加入收藏
 网站首页  部门介绍  服务指南  网络安全  规章制度  常见问题  下载专区  联系我们 
网络安全
当前位置: 网站首页>>网络安全>>正文
关于U盘病毒tel.xls.exe的处理方法
2010-04-13 作者: 

tel.xls.exe[Win32.Troj.*]查杀手记
---------------------------------
Win32.Troj.*
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件发送到指定邮箱。
测试环境:win xp + vmware + rising antivirus
1.生成文件
%systemroot%SocksA.exe
非系统盘下 tel.xls.exe和autorun.inf
autorun.ini内容:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe

2.注册表
(1)添加启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"ASocksrv" = "SocksA.exe"
更改文件夹选项中显示隐藏文件的值
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALLCheckedValue 的类型为REG_SZ(原本为REG_DWORD)
感染病毒后,系统将不再显示隐藏文件和扩展名,同时tel.xls.exe也伪装成为EXCEL的图标,诱导用户点击导致深度感染。当用户双击打开磁盘时,autorun.ini使tel.xls.exe自动运行。
查杀方法
1.开机进入安全模式
2.打开"任务管理器",找到tel.xls.exe和SocksA.exe进程,把它们结束掉。到
C:WINDOWSsystem32里找到SocksA.exe把它删除。
3.执行"开始"-"运行"-输入"regedit"打开注册表
4.找到
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如果不是则删掉CheckedValue,然后单击右键"新建" - "Dword值",并命名为CheckedValue,然后修改它的键值为1。
5.打开"我的电脑" - "工具" - "文件夹选项" - "查看",选择"显示所有文件和文件夹",并把"隐藏受保护的系统文件"复选框的√去除。
6.在各磁盘上用右键选择"打开"(否则又将运行病毒),删除各个非系统盘根目录下的autorun.inf和sxs.exe文件。
7.重新启动计算机。完成!
========================================================================

Excel图标 tel.xls.exe SocksA.exe svchost.exe 解决方案

病毒名称:Trojan.Win32.VB.atg(Kaspersky)
病毒别名:Worm.FileCopy.u.45056(毒霸)
      Trojan.VB.vqy(瑞星)
病毒大小:45,056 字节
加壳方式:N/A
样本MD5:38f0d47e4bbf2c5f05c51f6c48a90629
样本SHA1:ac97088838bd44a351e678b53ad77893a89c9720
发现时间:2006.10
更新时间:2006.10
关联病毒:
传播方式:可通过可移动磁盘、共享驱动器等途径传播

技术分析
==========

病毒是一个具有Excel图标的EXE可执行程序,运行后复制自身到系统目录:
%Windows%svchost.exe
并创建多个副本:
%Windows%Session.exe
%Windows%System32%FileKan.exe
%Windows%System32%SocksA.exe

向每个分区根目录复制:
tel.xls.exe
AUTORUN.INF
并创建AUTORUN.INF的副本:
%Windows%BACKINF.TAB

AUTORUN.INF内容: 

CODE:
[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shellAutocommand=tel.xls.exe
shell=Auto

创建启动项:
CODE:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"ASocksrv"="SocksA.exe"

破坏“显示所有文件和文件夹”设置:
CODE:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"="0"

每隔10秒钟检查复制病毒副本,重写注册表启动项和“显示所有文件和文件夹”设置信息:
从%Windows%Session.exe复制还原各分区根目录的tel.xls.exe,从%Windows%BACKINF.TAB复制还原各分区根目录的AUTORUN.INF。

清除步骤
==========

1. 结束病毒进程:
%Windows%svchost.exe

2. 删除病毒文件:
%Windows%Session.exe
%Windows%svchost.exe
%Windows%BACKINF.TAB
%Windows%System32%FileKan.exe
%Windows%System32%SocksA.exe

3. 通过磁盘分区右键菜单进入根目录,右键点击分区盘符,点击菜单中的“打开”进入分区根目录,删除根目录下的文件:
tel.xls.exe
AUTORUN.INF

4. 删除病毒启动项:

CODE:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"ASocksrv"="SocksA.exe"

5. 修改“显示所有文件和文件夹”设置,到注册表以下位置:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1

如果不会结束进程的操作,而且系统已经设置显示所有文件和文件夹,也可以尝试以下另外一种清除方法:
1. 删除病毒文件:
%Windows%Session.exe
%Windows%BACKINF.TAB
%Windows%system32%FileKan.exe
%Windows%system32%SocksA.exe

2. 通过磁盘分区右键菜单进入根目录,右键点击分区盘符,点击菜单中的“打开”进入分区根目录,删除根目录下的文件:
tel.xls.exe
AUTORUN.INF

3. 重新启动计算机

4. 删除病毒文件:
%Windows%svchost.exe

5. 删除病毒启动项:
CODE:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"ASocksrv"="SocksA.exe"

6. 修改“显示所有文件和文件夹”设置,到注册表以下位置:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
删除右边病毒创建的字符串值:"CheckedValue"="0"
新建DWORD值,名称:CheckedValue,数据:1

关闭窗口

版权所有:甘肃政法学院现代教育技术中心