rundl132.exe的解决方法


档案编号：CISRT2006015
病毒名称：Trojan.Win32.Delf.rf（AVP）
病毒别名：
病毒大小：31,208 字节 （xiaran.dat大小13,888字节，MD5;511ad1cbae299a3ccaeb2a903bdd9000）
加壳方式：PE_Patch, NSPack
样本MD5：17307830f71c63fac3d4ee790267761d
发现时间：2006.7.31
更新时间：2006.7.31
关联病毒：Worm.Win32.Viking.r
　　　　　 Trojan-PSW.Win32.Lineage.acw
　　　　　 Trojan-PSW.Win32.Delf.fz
　　　　　 Trojan-PSW.Win32.Lineage.acw
传播方式：通过恶意网站、其它病毒下载/释放等途径传播


技术分析
==========

这是一个QQ尾巴，用来传播Worm.Win32.Viking.r的，本身由Worm.Win32.Viking.r下载：0Sy.exe。

0Sy.exe是一个WinRAR自解压图标的程序，运行后释放xiaran.dat到：
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran.dat

创建ShellExecuteHooks：


CODE:[Copy to clipboard][HKEY_CLASSES_ROOT\CLSID\{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}"=""
更改默认IE主页：


CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://u4.sky99.cn"
每3秒恢复一次。

监视QQ聊天窗口，向好友发送QQ尾巴信息：


CODE:[Copy to clipboard]麻烦帮我朋友投个票啦!她正在竞选QQ小姐,参选Q-Zone空间上有她近照,点击为她增加人气,先谢谢喽……

http://q-zone.qq.c0m.%30%76%34%2E%6F%72%67/cgi-bin/Photo=No.947564
加密地址解释为：
http://q-zone.qq.c0m.0v4.org/cgi-bin/Photo-No.947564


清除步骤
==========

1. 在注册表里删除病毒建立的ShellExecuteHooks信息：


CODE:[Copy to clipboard][HKEY_CLASSES_ROOT\CLSID\{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BA8C2B95-A7E9-464B-A0A5-FFE9B8A1C030}"
2. 重新启动计算机

3. 删除文件：
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\xiaran.dat

4. 更改IE主页设置

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－


Viking.r rundl132.exe viDll.dll 0v4.org sky99 解决方案

档案编号：CISRT2006014
病毒名称：Worm.Win32.Viking.r（AVP）
病毒别名：
病毒大小：31,215 字节
加壳方式：UPack
样本MD5：5777fc2962e8b608c92572d919d34bea
发现时间：2006.7.31
更新时间：2006.7.31
关联病毒：Trojan.Win32.Delf.rf
　　　　　 Trojan-PSW.Win32.Lineage.acw
　　　　　 Trojan-PSW.Win32.Delf.fz
　　　　　 Trojan-PSW.Win32.Lineage.acw
传播方式：通过QQ、恶意网站甚至感染文件等多种途径传播


技术分析
==========

相关文件：
%Windows%\rundl132.exe
%当前目录%\viDll.dll

又是一个Viking，和之前的变种一样，通过QQ、恶意网站、感染文件多种方式进行传播，恶意网站上下载下来的文件名是hou4.exe，恶意代码将其保存为%temp%\g0ld.com，并运行。

hou4.exe运行后复制自身到%Windows%\rundl132.exe，释放viDll.dll到当前目录插入Explorer.exe和iexplore.exe进程。

创建自启动项：


CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"load"="%Windows%\rundl132.exe"
设置注册表信息：


CODE:[Copy to clipboard][HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
并尝试访问网络下载其它木马程序：
http://www.q.q.39com.net/vipmm4/qq4.exe
http://www.m.h.39com.net/vipmm4/mh4.exe
http://www.z.t.39com.net/vipmm4/zt4.exe
http://www.r.h.39com.net/vipmm4/rxjh4.exe
http://www.w.w.39com.net/vipmm4/wow4.exe
这些大多都是盗取网游帐号的木马。

另外，在实际测试过程中未发现感染exe文件的行为。如果感染文件，感染方式应该和之前变种类似，不感染主要系统目录下的exe文件：
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files\
Program Files\Windows NT
Program Files\WindowsUpdate
Program Files\Windows Media Player
Program Files\Outlook Express
Program Files\Internet Explorer
Program Files\ComPlus Applications
Program Files\NetMeeting
Program Files\Common Files
Program Files\Messenger
Program Files\Microsoft Office
Program Files\InstallShield Installation Information
Program Files\MSN
Program Files\Microsoft Frontpage
Program Files\Movie Maker
Program Files\MSN Gaming Zone

在被感染过的目录里留下_desktop.ini文件，记录感染日期。

发送ICMP数据包“Hello,World”，尝试通过administrator管理员帐户空密码访问感染局域网内其它计算机：
\ipc$
\admin$


清除步骤
==========

1. 结束病毒进程%Windows%\rundl132.exe

2. 删除文件：
%Windows%\rundl132.exe
viDll.dll（可以用搜索查找，如果无法删除可以重启后再行删除）

3. 删除病毒建立的自启动项和还有其它注册表信息：


CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%Windows%\rundl132.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]

手工删除残余文件：
del c:\_desktop.ini /f/s/q/a