【名称】:recycle.exe病毒
【传播方式】:U盘
【属性】:木马
【测试环境】:windows xp sp3 、冰刃、Process MonitorV2.02H、File Monlter、combo防火墙免费版(功能全开,未更新)
【表现形式】:感染U盘,把U盘里根目录的文件夹隐藏为系统属性,并建立相同的文件名.exe文件,和recycle.exe系统隐藏文件,大小固定1.16mb,可显示的exe病毒表现为我的文档形式图标,在系统文件夹windows/system32下建立一个6个字符左右数字+大些字母随机名的文件夹,在下面的生成的是同名的病毒exe文件,为系统隐藏属性,在任务管理器里可以发现系统文件夹下的那个病毒名称(貌似插入U盘后出现)。病毒设置为自启动(注册表里有自启动键值),可能造成系统内核加载失败等问题(出现过),使用监视工具Process MonitorV2.02H.exe运行病毒后崩溃,在启动组【开始】菜单的【启动】里写入了可见的启动项,冰刃无法找到病毒进程,在冰刃里发现安装了键盘和鼠标钩子(用于截获用户行为的)。
用File Monlter进行过滤选择发现打开了windows/Prefetch下的recycle.exe-0d0997f9.pf文件
读取文件:windows/system32/imm32.dll
windows/system32/lpk.dll
windows/system32/usp.dll
windows/system32/usp10.dll
windows/system32/guard32.dll
windows/system32/fltlib.dll/
windows/system32/winmm.dll
发现访问了msctfime.ime认为是具有键盘记录的
发现访问了iphlpapi.dll认为有ip函数调用(网络功能)
访问了ieframe.dll
往根目录里写了$convertToNonresident
创建了文件E_N4在temp目录
在E_N4下创建了krnln.fnr文件
E_n4下文件有
krnln.fnr
htmlview.fne
internet.fne
eAPI.fne
dp1.fne
【对系统的影响】:当有U盘插入电脑时,打开我的电脑会发生未响应的故障,强制拔出U盘,恢复正常,windows提示写入U盘的信息有可能损坏
在windows/system32/生成了病毒文件夹,并产生了recycle.exe文件和NT_.....exe文件拦截了5个要写入注册表的病毒文件大小1.16MB
【解决办法】:在文件夹选项里去掉隐藏系统文件选项,在任务管理器内找到病毒名称(可以在msconfig中找到一个启动选项)结束掉,并删掉系统文件夹windows/system32下的病毒文件夹和文件(msconfig里有路径),删掉【开始】菜单的【启动】选项里的快捷方式(用cmd解决病毒的系统属性)在注册表里查找病毒名称的键值删掉所有的键值,重启电脑,插入U盘,无病毒写入文件,问题解决。
U盘免疫办法:建立autorun.inf文件夹,建立reclyer.exe文件夹并进行删不掉处理。
分析有偏颇之处,还请见谅
【注】:
MD5:D41D8CD98F00B204E9800998ECF8427E
SH1:DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
CRC-32:00000000