vipdos.exe是一个网友发来的样本。卡巴斯基2006年9月13日13点的病毒库不报毒。
一、vipdos.exe运行后释放下列文件:
C:\windows\system32\vipdos.exe
C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\STIJKLAB
desktop.ini
ip[1].htm
vrius_search[1].htm
vrius_tools[1].htm
desktop.ini的内容为:
[.ShellClassInfo]
UICLSID={7BD29E00-76C1-11CF-9DD0-00A0C9034933}
ip[1].htm的内容为:
<script src='http://s66.cnzz.com/stat.php?id=254175&web_id=254175&show=pic' language='JavaScript' charset='gb2312'></script>
<iframe src="http://www.viph.net/ip.htm" width="0" height="0" frameborder="0"> </iframe>
vrius_search[1].htm的内容(图1)
vrius_tools[1].htm的内容(图2)
二、通过不固定的端口,访问多个IP地址,下载多种病毒、木马(包括“威金”、“密西”等恶性病毒,图3)。
三、注册表修改:
在:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
添加:C:\windows\system32\vipdos.exe
在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
添加:"C:\\windows\\system32\\vipdos.exe"="C:\\windows\\system32\\vipdos.exe:*:Enabled:Microsoft (R) Internetal IExplore"
在:HKEY_CLASSES_ROOT\CLSID\
添加:{7BD29E00-76C1-11CF-9DD0-00A0C9034933}
在:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
添加:"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Internet 临时文件"
四、查杀:
1、结束进程C:\windows\system32\vipdos.exe
2、删除vipdos.exe添加的注册表项。
3、删除C:\windows\system32\vipdos.exe以及C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\STIJKLAB文件夹的全部文件。
4、中招后,重启系统前,下载到%windows%文件夹中的病毒可直接删除(见图3)。
图1
