Trojan.Win32.Lineback
病毒名称:Trojan.Win32.Lineback(瑞星)
病毒别名: Trojan/LineBacker(江民)
影响系统:Windows系统 威胁级别:★★★
基本特征:大小 48,640 字节,是WIN32平台下的的一个木马;
病毒行为:
1:释放一个DLL插入EXPLORER进程,这样,用户无法使用杀毒软件在内存中结束进程
2:打开任务管理器,用户会看到有名为advapi32.exe和avicap32.exe两个进程
3:病毒在%WINDOWS%下创建一个名为backup的文件夹,在windows\downloaded program files\0319
并将若干(病毒)文件释放其中,他们分别是:
advapi32.exe(48640,I),cn.dll(159744,I),ADSite.txt(0,I),MuSearch.dll(49215,I),looie.dll(32836,I),
lineback.dll(28748,I),avicap32.exe(20480,I),plugin.ini(190,I)
其中,advapi32.exe,avicap32.exe,MuSearch.dll,looie.dll,lineback.dll为主要病毒体文件;plugin.ini为恶意嵌入IE的BHO项目的环境初始化文件;windows\downloaded program files\0319这个文件肩在正常模式无法显示,须安全模式下显示.
4:添加如下注册表内容,实现自动启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run advapi32 "H:\backup2\advapi32.exe -auto"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avicap32 "H:\backup2\avicap32.exe"
说明:引号内位置为原始病毒文件位置
5:连接远程地址61.145.117.*和202.104.11.* 下载文件
6:在注册表中CLSID建立一个"类",插入IE作为BHO项目,此功能主要由病毒文件MuSearch.dl完成
HKEY_CLASSES_ROOT\CLSID\{3D33EAE4-9EAA-4542-BCC8-9A9061392D56}
病毒清除:
1:尚未发现厂商有推出专杀工具
2:手动清除建议(windows XP)
1。重启进入安全模式(启动时按F8)
2。删除下列文件
1) windows\backup\*.*
2) windows\prefetch\advapi32*.* avicap32*.*
3) windows\downloaded program files\0319\*.*
这个目录在windows下搜索不到,也看不到(开了显示隐藏)
3。删除注册表中与advapi32.exe avicap32.exe MuSearch.dll 相关的键值
