tel.xls.exe[Win32.Troj.*]查杀手记

---------------------------------

Win32.Troj.*

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为：盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码，盗取方式为键盘记录，包括软件盘，将盗取的号码和密码通过邮件发送到指定邮箱。

测试环境：win xp + vmware + rising antivirus

1.生成文件

%systemroot%SocksA.exe

非系统盘下 tel.xls.exe和autorun.inf

autorun.ini内容：

[AutoRun]

open=tel.xls.exe

shellexecute=tel.xls.exe

2.注册表

(1)添加启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"ASocksrv" = "SocksA.exe"

更改文件夹选项中显示隐藏文件的值

HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALLCheckedValue 的类型为REG_SZ(原本为REG_DWORD)

感染病毒后，系统将不再显示隐藏文件和扩展名，同时tel.xls.exe也伪装成为EXCEL的图标，诱导用户点击导致深度感染。当用户双击打开磁盘时，autorun.ini使tel.xls.exe自动运行。

查杀方法

1.开机进入安全模式

2.打开"任务管理器"，找到tel.xls.exe和SocksA.exe进程，把它们结束掉。到

C:WINDOWSsystem32里找到SocksA.exe把它删除。

3.执行"开始"－"运行"－输入"regedit"打开注册表

4.找到

HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL中的CheckedValue，检查它的类型是否为REG_DWORD，如果不是则删掉CheckedValue，然后单击右键"新建" - "Dword值"，并命名为CheckedValue，然后修改它的键值为1。

5.打开"我的电脑" - "工具" - "文件夹选项" - "查看"，选择"显示所有文件和文件夹"，并把"隐藏受保护的系统文件"复选框的√去除。

6.在各磁盘上用右键选择"打开"（否则又将运行病毒），删除各个非系统盘根目录下的autorun.inf和sxs.exe文件。

7.重新启动计算机。完成！

========================================================================

Excel图标 tel.xls.exe SocksA.exe svchost.exe 解决方案

病毒名称：Trojan.Win32.VB.atg（Kaspersky）

病毒别名：Worm.FileCopy.u.45056（毒霸）

Trojan.VB.vqy（瑞星）

病毒大小：45,056 字节

加壳方式：N/A

样本MD5：38f0d47e4bbf2c5f05c51f6c48a90629

样本SHA1：ac97088838bd44a351e678b53ad77893a89c9720

发现时间：2006.10

更新时间：2006.10

关联病毒：

传播方式：可通过可移动磁盘、共享驱动器等途径传播

技术分析

==========

病毒是一个具有Excel图标的EXE可执行程序，运行后复制自身到系统目录：

%Windows%svchost.exe

并创建多个副本：

%Windows%Session.exe

%Windows%System32%FileKan.exe

%Windows%System32%SocksA.exe

向每个分区根目录复制：

tel.xls.exe

AUTORUN.INF

并创建AUTORUN.INF的副本：

%Windows%BACKINF.TAB

AUTORUN.INF内容：

CODE:

[AutoRun]

open=tel.xls.exe

shellexecute=tel.xls.exe

shellAutocommand=tel.xls.exe

shell=Auto

创建启动项：

CODE:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"ASocksrv"="SocksA.exe"

破坏“显示所有文件和文件夹”设置：

CODE:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

"CheckedValue"="0"

每隔10秒钟检查复制病毒副本，重写注册表启动项和“显示所有文件和文件夹”设置信息：

从%Windows%Session.exe复制还原各分区根目录的tel.xls.exe，从%Windows%BACKINF.TAB复制还原各分区根目录的AUTORUN.INF。

清除步骤

==========

1. 结束病毒进程：

%Windows%svchost.exe

2. 删除病毒文件：

%Windows%Session.exe

%Windows%svchost.exe

%Windows%BACKINF.TAB

%Windows%System32%FileKan.exe

%Windows%System32%SocksA.exe

3. 通过磁盘分区右键菜单进入根目录，右键点击分区盘符，点击菜单中的“打开”进入分区根目录，删除根目录下的文件：

tel.xls.exe

AUTORUN.INF

4. 删除病毒启动项：

CODE:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"ASocksrv"="SocksA.exe"

5. 修改“显示所有文件和文件夹”设置，到注册表以下位置：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

删除右边病毒创建的字符串值："CheckedValue"="0"

新建DWORD值，名称：CheckedValue，数据：1

如果不会结束进程的操作，而且系统已经设置显示所有文件和文件夹，也可以尝试以下另外一种清除方法：

1. 删除病毒文件：

%Windows%Session.exe

%Windows%BACKINF.TAB

%Windows%system32%FileKan.exe

%Windows%system32%SocksA.exe

2. 通过磁盘分区右键菜单进入根目录，右键点击分区盘符，点击菜单中的“打开”进入分区根目录，删除根目录下的文件：

tel.xls.exe

AUTORUN.INF

3. 重新启动计算机

4. 删除病毒文件：

%Windows%svchost.exe

5. 删除病毒启动项：

CODE:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"ASocksrv"="SocksA.exe"

6. 修改“显示所有文件和文件夹”设置，到注册表以下位置：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

删除右边病毒创建的字符串值："CheckedValue"="0"

新建DWORD值，名称：CheckedValue，数据：1