病毒查杀：清理带有Excel图标的可执行程序

　　病毒名称：Trojan.Win32.VB.atg（Kaspersky）

　　病毒别名：Worm.FileCopy.u.45056（毒霸）

　　Trojan.VB.vqy（瑞星）

　　病毒大小：45,056 字节

　　加壳方式：N/A

　　样本MD5：38f0d47e4bbf2c5f05c51f6c48a90629

　　样本SHA1：ac97088838bd44a351e678b53ad77893a89c9720

　　发现时间：2006.10

　　更新时间：2006.10

　　关联病毒：

　　传播方式：可通过可移动磁盘、共享驱动器等途径传播

　　技术分析

　　病毒是一个具有Excel图标的EXE可执行程序，运行后复制自身到系统目录：

　　%Windows%\svchost.exe

　　并创建多个副本：

　　%Windows%\Session.exe

　　%Windows%\System32%\FileKan.exe

　　%Windows%\System32%\SocksA.exe向每个分区根目录复制：

　　tel.xls.exe

　　AUTORUN.INF

　　并创建AUTORUN.INF的副本：

　　%Windows%\BACKINF.TABAUTORUN.INF内容：

　　CODE:

　　[AutoRun]

　　open=tel.xls.exe

　　shellexecute=tel.xls.exe

　　shell\Auto\command=tel.xls.exe

　　shell=Auto创建启动项：

　　CODE:

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"ASocksrv"="SocksA.exe"破坏“显示所有文件和文件夹”设置：

　　CODE:

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

　　"CheckedValue"="0"每隔10秒钟检查复制病毒副本，重写注册表启动项和“显示所有文件和文件夹”设置信息：

　　从%Windows%\Session.exe复制还原各分区根目录的tel.xls.exe，从%Windows%\BACKINF.TAB复制还原各分区根目录的AUTORUN.INF。

　　清除步骤

　　1. 结束病毒进程：

　　%Windows%\svchost.exe2. 删除病毒文件：

　　%Windows%\Session.exe

　　%Windows%\svchost.exe

　　%Windows%\BACKINF.TAB

　　%Windows%System32%\FileKan.exe

　　%Windows%System32%\SocksA.exe3. 通过磁盘分区右键菜单进入根目录，右键点击分区盘符，点击菜单中的“打开”进入分区根目录，删除根目录下的文件：

　　tel.xls.exe

　　AUTORUN.INF4. 删除病毒启动项：

　　CODE:

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"ASocksrv"="SocksA.exe"5. 修改“显示所有文件和文件夹”设置，到注册表以下位置：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

　　删除右边病毒创建的字符串值："CheckedValue"="0"

　　新建DWORD值，名称：CheckedValue，数据：1如果不会结束进程的操作，而且系统已经设置显示所有文件和文件夹，也可以尝试以下另外一种清除方法：

　　1. 删除病毒文件：

　　%Windows%\Session.exe

　　%Windows%\BACKINF.TAB

　　%Windows%\system32%\FileKan.exe

　　%Windows%\system32%\SocksA.exe2. 通过磁盘分区右键菜单进入根目录，右键点击分区盘符，点击菜单中的“打开”进入分区根目录，删除根目录下的文件：

　　tel.xls.exe

　　AUTORUN.INF3. 重新启动计算机4. 删除病毒文件：

　　%Windows%\svchost.exe5. 删除病毒启动项：

　　CODE:

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"ASocksrv"="SocksA.exe"6. 修改“显示所有文件和文件夹”设置，到注册表以下位置：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

　　删除右边病毒创建的字符串值："CheckedValue"="0"

　　新建DWORD值，名称：CheckedValue，数据：1