sal.xls病毒解释及处理方法--电脑应用,电脑维护,故障修复,系统优化,硬件故障,软件故障,电脑病毒,电脑应用,办公应用,电脑常识

又一个蠕虫病毒，和sxs病毒同样可以通过U盘传播，我们可以统称它们为“u盘病毒”。
1.病毒源文件：sal.xls.exe

sal.xls.exe批处理专杀工具下载:http://i.6to23.com/e310/antivirus/Sal.xls.Killer.rar

autorun.inf 是这样写的：

[AutoRun]

open=sal.xls.exe

shellexecute=sal.xls.exe

shell\Auto\command=sal.xls.exe

shell=Auto

[VVflagRun]

aabb=kdkfjdkfk11

2.病毒名称：worm.win32.vb.el

以下是在虚拟机下的试验过程：

2-1.双击 sal.xls.exe 激活病毒，进程algssl.exe 出现。也就是说 sal.xls.exe 是
algssl.exe的父级。

分析：病毒被激活后，生成以下蠕虫病毒，

C:\WINDOWS\system32\algssl.exe
C:\WINDOWS\system32\msime80.exe
C:\WINDOWS\system32\msfir80.exe

并在每个硬盘分区写入sal.xls.exe和autorun.inf，如果U盘连接电脑，同样写入。
只要algssl.exe进程不终止，删除sal.xls.exe会马上从内存中恢复。终止algssl.exe进程，
sal.xls.exe不再产生。

2-2.修改注册表：

位置：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
值：MsServer
当前值：msfir80.exe

位置：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
值：IMJPMIG8.2
当前值：msime80.exe

位置：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
值：CheckedValue （类型应为 REG_DWORD，被窜改为REG_SZ）
当前值：0

附：木马克星查杀报告

发现木马h6： MSIME80.EXE
木马已经清除.
发现木马3w： MSFIR80.EXE
木马已经清除.
found trojan:： MSFIR80.EXE

可疑文件
C:\WINDOWS\system32\algssl.exe

内存中发现非系统进程
C:\WINDOWS\system32\algssl.exe

用ProcessExplorer 查询得到的 algssl.exe的字符串：

N@U@d@
N@U@d@}@
SQLOLEDB.1
msfir80
algssl
sal.xls
msime80
msnote
.exe
explorer
AUTORUN.INF
[AutoRun]
open=
shellexecute=
shell\Auto\command=
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk11
\ufdata2000.log
UFDATA_
select cAcc_Id from ua_account order by cAcc_id
LockType
Open
EOF
cAcc_id
select iyear from ua_period where cAcc_id='
' order by iyear desc
iyear
MoveNext
Integrated Security=SSPI;Persist Security Info=False;Data Source=.;Initial Catalog=ufsystem
select count(*) as co from
.dbo.gl_accvouch where iperiod=
Close
select top
mc,md from
order by ino_id
MoveLast
Update
.dbo.gl_accsum where iperiod=
mb,mc,md,me from
order by ccode
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Software\Microsoft\Windows\CurrentVersion\Run
CheckedValue
IMJPMIG8.2
MsServer
@PEPM
URE
EPM
EPM
EPM
@PEPM
URE
EPM
EPM
EPM
MQU
MQU
MQU
UREP
MQURE
MQU
UREP
MQURE
URE
EPMQ
UREPM
MQU
sUREPM
QURE
MQU
EPM
URE
MQUR
EPM
PMQURE
QUREPM
EPM
URE
MQU
EPM
URE
UREP
MQURE
EPM
MQU
URE
DEPMQU
REPMQU
URE
MQE
EPM
EPM
URE
EPE
URE
URE
MQU
URE
EPM
MQU
EPM
URE
URE
MQU
EPM
URE
EPM
QUR
REP
QUR
PMQ
QUR
PMQ
REP
PMQ
REP
@PEP
EPMQU
MQU
EPMQU
@PUR
EPM
URE
PMQU
@PEP
MQU
@PEP
EPMQU
MQU
EPMQU
@PURd
EPM
URE
PMQU
URE
MQU
@PUR\
EPMQU
UREPM
REPMQU
@PEP
EPMQU
MQU
EPMQU
@PUR
EPM
URE
PMQU
URE
MQU
@PUR
EPMQU
MQURE
QUREPM
VS_VERSION_INFO
VarFileInfo
Translation
StringFileInfo
CompanyName
Microsoft Corp.
ProductName
FireWall Files
FileVersion
ProductVersion
InternalName
msfir80
OriginalFilename
msfir80.exe
!This program cannot be run in DOS mode.
Rich1
.text
`.data
.rsrc
MSVBVM60.DLL
i7jn
8jtY6j
8jNb7j
h7jt
6j'T*j
5j$s5j
*6j1+6j,E*j
c7j2"6jW
c*jo
F*j3|5j
8j|g5j
8j[N*j
o5jW`*j
f7jNc7jG
6j|i6j
c7j=]7jg
I*jF
7j^G*j
CgH
9vwebz{R
Form1
Form1
wwwwwwwwwwwp
wwwwwwww
www
www
www
(wwwww
wwwww
(wwwww
wwww
Form1
Command2
Command2
Command1
Command1
Timer1
9vwe
VB5!6&vb6chs.dll
msfir80
Excel
Form1
bz{R
9vwes|
Form
E:\Program Files\Microsoft Visual Studio\VB98\VB6.OLB
Timer1
Command1
Command2
kernel32
GetSystemDirectoryA
GetWindowsDirectoryA
GetLogicalDriveStringsA
GetDriveTypeA
advapi32.dll
RegOpenKeyA
RegCreateKeyA
RegCloseKey
RegSetValueExA
RegQueryValueExA
__vbaPutOwner4
__vbaGetOwner4
__vbaVarMul
VBA6.DLL
__vbaAryDestruct
__vbaRedim
__vbaInStrVar
__vbaVarIndexStore
__vbaStrI4
__vbaVarSetObj
__vbaVarSub
__vbaVarAdd
__vbaFreeObjList
__vbaVarIndexLoad
__vbaVarLateMemCallLd
__vbaObjSet
__vbaVarNot
__vbaCastObj
__vbaObjVar
__vbaLateMemCall
__vbaVarLateMemSt
__vbaNew
__vbaVarSetObjAddref
__vbaVarCopy
__vbaVarTstGe
__vbaDateStr
__vbaLineInputStr
__vbaStrVarCopy
__vbaDateVar
__vbaFpI4
__vbaStrVarVal
__vbaFileClose
__vbaPrintFile

[1] [2] [3] [4] [5] 下一页