recycle.exe(Trojan-Dropper.Win32.VB.rj)病毒的查杀方法

　　一、病毒描述：

　　病毒通过U盘传播，运行后复制自身到系统目录并释放一个灰鸽子木马。为增强隐蔽性，生成的病毒文件有回收站和安

　　装程序两种图标。

　　二、病毒基本情况：

　　病毒名称：Trojan-Dropper.Win32.VB.rj

　　病毒别名：无

　　病毒类型：病毒

　　危害级别：3

　　感染平台：Windows

　　病毒大小：458,752(字节)

　　SHA1　　：b86e419783b2d1ca9a5d4ea7de4711cf3da7a83b

　　加壳类型：无

　　开发工具：Microsoft Visual Basic 5.0 / 6.0

　　三、病毒行为：

　　1、病毒运行后会生成以下文件：

　　%windir%svchost.exe　(458752 字节，回收站图标)

　　%windir%

　　avfree.exe　(307640 字节，安装程序图标，灰鸽子木马)

　　%ProgramFiles%Common FilesMicrosoft SharedMSINFOservieces.exe　(307640 字节，安装程序图

　　标，灰鸽子木马)

　　%windir%system32_servieces.exe　(307640 字节，安装程序图标，灰鸽子木马)

　　2、修改注册表添加一个启动项：

　　键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

　　键名：Shell

　　键值：Explorer.exe %windir%svchost.exe

　　3、为灰鸽子木马添加一个服务：

　　服务名称：system starmize

　　显示名称：system starmize

　　描述：系统自带启动优化

　　可执行文件路径：%ProgramFiles%Common FilesMicrosoft SharedMSINFOservieces.exe

　　启动类型：自动

　　4、修改系统时间。通过执行cmd.exe /c date 1980-01-01命令，将系统时间修改为1980年。

　　5、监视U盘等移动设备，拷贝自身到U盘里面并命名为recycle.exe，写入autorun.inf，以达到随U盘传播的目的。

　　6、病毒释放的灰鸽木马会连接http://sx.yixiti.net.ru/i/i.txt下载i.txt文件，根据i.txt文件中的内容连接黑客

　　并接受其控制。

　　7、监视自身文件及启动项，防止被删除。

　　四、解决方案：

　　1、删除注册表内的启动项。修改注册表删除病毒启动项，删除键值内的%windir%svchost.exe：

　　键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

　　键名：Shell

　　键值：Explorer.exe %windir%svchost.exe

　　2、重启计算机，进入安全模式。

　　3、删除病毒文件。删除以下文件：

　　%windir%svchost.exe

　　%windir%

　　avfree.exe

　　%ProgramFiles%Common FilesMicrosoft SharedMSINFOservieces.exe

　　%windir%system32_servieces.exe

　　4、删除病毒添加的服务。打开超级巡警，使用服务管理功能删除名为system starmize的服务。

　　5、修正系统时间。

　　五、对预防此病毒的建议：

　　由于此病毒是通过U盘传播的，所以建议使用超级巡警的U盘免疫对U盘进行免疫，并且废除系统的自动运行功能。在

　　将U盘插入到电脑时要对U盘进行杀毒，然后再使用。

　　您可能感兴趣的文章: