当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 木马Email-Worm.Win32.Rays分析与手动清

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 木马Email-Worm.Win32.Rays分析与手动清


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 29 ::
收藏到网摘: n/a

Email-Worm.Win32.Rays分析

安天实验室    CERT组分析

一、病毒标签:

病毒名称: Email-Worm.Win32.Rays
病毒类型: 蠕虫类
文件 MD5: 44BE9425394FF910ADB2494981B54C16
公开范围: 完全公开
危害等级: 4
文件长度: 53,248 字节
感染系统: Windows98以上版本
开发工具: 53,248 字节
加壳类型: 无
   
二、病毒描述:
   
该病毒为蠕虫类,病毒运行后复制自身到系统目录,衍生病毒文件。 修改注册表,添加启动项,以达到随机启动的目的。修改注册表使隐藏文件不可见; 连接网络,以自身为邮件附件发送Email。
   
三、行为分析:

1、 文件运行后会衍生以下文件
%WinDir%\ Mstray.exe                            53,248字节

2、 新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:" RavTimeXP "
类型: REG_SZ
值: " C:\WINDOWS\Mstray.exe "
描述:添加启动项,以达到随机启动的目的
        旧: DWORD: 3 (0x3)

3、修改注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见
       
4、 修改注册表键值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt]
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
描述:使隐藏文件不可见

5、连接网络,以自身为邮件附件发送Email   
   
注释:
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                    是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
   
四、 清除方案:

1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
       
(2) 强行删除病毒文件
    %WinDir%\ Mstray.exe                            53,248字节

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值:" RavTimeXP "
类型: REG_SZ
值: " C:\WINDOWS\Mstray.exe "
描述:添加启动项,以达到随机启动的目的
旧: DWORD: 3 (0x3)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述:使隐藏文件不可见     [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\    HideFileExt]
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
描述:使隐藏文件不可见