快!help me ar!!!!!!!我中左Win32/Viking.N virus!!!!!!

病毒名称：Virus.Win32.Dzan.a（Kaspersky）
　　　　　 清除Virus.Win32.Dzan.a后：Trojan.Win32.VB.atg（Kaspersky）
病毒别名：Worm.Suser.a（瑞星）
病毒大小：110,592 字节
　　　　　 清除Virus.Win32.Dzan.a后：45,056 字节
加壳方式：N/A
样本MD5：3dc040cb3a352a8577f44a1ff8ef8ca8
样本SHA1：acf12d3a843126cc98efd9f8e77c1cf14b027a70
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播，其它木马下载，可移动存储设备（如U盘、MP3、移动硬盘）


技术分析
==========

这个tel.xls.exe是CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的变种，行为较之更为恶劣，我们发现这个样本会感染其它exe文件，但是，经过分析发现此文件是被另外一个感染型病毒所感染，本身并不具备感染文件的行为。

tel.xls.exe原始文件大小为45056字节（Trojan.Win32.VB.atg），和CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464的一样，运行后复制自身到系统目录：
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe

创建启动项：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"
在每个驱动器根目录复制副本：
X:\tel.xls.exe
X:\autorun.inf
在系统目录创建autorun.inf的副本：
%Windows%\BACKINF.TAB
autorun.inf内容：

[Copy to clipboard]CODE:[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto
tel.xls.exe每10秒从%Windows%\session.exe重写X:\tel.xls.exe，从%Windows%\BACKINF.TAB重写X:\autorun.inf。

修改注册表破坏“显示所有文件和文件夹”设置：

[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"="0"
由于被病毒（Virus.Win32.Dzan.a）感染，导致它和之前变种CISRT2006083http://www.cisrt.org/bbs/viewthread.php?tid=464有较大的差别。
被感染的tel.xls.exe运行后释放%System%\mmc.exe，覆盖系统“管理控制台”程序，这意味着系统的管理控制台无法打开，比如“计算机管理”、“服务”等。

创建服务：

QUOTE:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
显示名：Smart Card Supervisor
可执行文件的路径：%System%\mmc.exe
mmc.exe就是感染型文件的原程序，它常驻内存遍历目录感染exe文件，也包括系统文件，当系统文件被感染时系统会弹出“Windows文件保护”的对话框（如图）：


圖片參考：http://www.45it.com/Article/UploadFiles/200612/20061201114006886.gif



mmc.exe大小61440字节，被感染exe文件增加大小61952字节，是mmc.exe自身大小再加512字节，被感染exe文件运行后会释放mmc.exe运行。

病毒文件如图：


圖片參考：http://www.45it.com/Article/UploadFiles/200612/20061201114025292.gif




清除步骤
==========

1. 结束病毒进程：
%System%\mmc.exe
X:\tel.xls.exe
%Windows%\svchost.exe
%System%\SocksA.exe

2. 删除病毒文件：
%Windows%\BACKINF.TAB
%Windows%\session.exe
%Windows%\svchost.exe
%System%\SocksA.exe
%System%\FileKan.exe
%System%\mmc.exe

3. 通过磁盘驱动器右键菜单进入根目录：右键点击驱动器盘符，点击菜单中的“打开”进入驱动器根目录，删除根目录下的文件：
X:\autorun.inf
X:\tel.xls.exe

4. 删除病毒启动项和服务：

[Copy to clipboard]
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASocksrv"="SocksA.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mmc]
5. 修改“显示所有文件和文件夹”设置，到注册表以下位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除右边病毒创建的字符串值："CheckedValue"="0"
新建DWORD值，名称：CheckedValue，数据：1

6. 使用反病毒软件进行全盘扫描，清除被感染的exe文件
注：今天上午测试，Kaspersky（卡巴斯基）和瑞星（Rising）可以基本清除被感染exe文件

7. 从正常的相同的操作系统里复制%System%\mmc.exe，用以恢复系统“管理控制台”功能

Win32.Viking 是Worm的一種, 經由受感染的.EXE file來傳播.
如果Window或防毒軟件未做好update就有機會受其影響.
詳情可瀏覽以下網:
http://www.symantec.com/security_response/writeup.jsp?docid=2005-022409-2131-99