Email-Worm.Win32.Rays分析

一、病毒標簽：
病毒名稱： Email-Worm.Win32.Rays
病毒類型： 蠕蟲類
文件 MD5： 44BE9425394FF910ADB2494981B54C16
公開範圍： 完全公開
危害等級： 4
文件長度： 53,248 字節
感染係統： Windows98以上版本
開發工具： 53,248 字節
加殼類型： 無

二、病毒描述：

該病毒爲蠕蟲類，病毒運行後複制自身到係統目錄，衍生病毒文件。 修改注冊表，添加啓動項，以達到隨機啓動的目的。修改注冊表使隱藏文件不可見; 連接網絡，以自身爲郵件附件發送Email。

三、行爲分析：

1、 文件運行後會衍生以下文件
%WinDir%\ Mstray.exe             53,248字節

2、 新建注冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注冊表值：" RavTimeXP "
類型： REG_SZ
值： " C:\WINDOWS\Mstray.exe "
描述：添加啓動項，以達到隨機啓動的目的
  舊: DWORD: 3 (0x3)

3、修改注冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden]
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
描述：使隱藏文件不可見
 
4、 修改注冊表鍵值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt]
新: DWORD: 1 (0x1)
舊: DWORD: 0 (0)
描述：使隱藏文件不可見

5、連接網絡，以自身爲郵件附件發送Email  

注釋：
%Windir%           WINDODWS所在目錄
%DriveLetter%       邏輯驅動器根目錄
%ProgramFiles%       係統程序默認安裝目錄
%HomeDrive%         當前啓動係統所在分區
%Documents and Settings%   當前用戶文檔根目錄
%Temp%           當前用戶TEMP緩存變量；路徑爲：
%Documents and Settings%\當前用戶\Local Settings\Temp
%System32%         是一個可變路徑；
病毒通過查詢操作係統來決定當前System32文件夾的位置；
Windows2000/NT中默認的安裝路徑是　C:\Winnt\System32；
Windows95/98/Me中默認的安裝路徑是　C:\Windows\System；
WindowsXP中默認的安裝路徑是　C:\Windows\System32。


四、 清除方案：
手工清除請按照行爲分析刪除對應文件，恢複相關係統設置。
 
(1) 強行刪除病毒文件
%WinDir%\ Mstray.exe             53,248字節

(2) 恢複病毒修改的注冊表項目，刪除病毒添加的注冊表項
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注冊表值：" RavTimeXP "
類型： REG_SZ
值： " C:\WINDOWS\Mstray.exe "
描述：添加啓動項，以達到隨機啓動的目的
舊: DWORD: 3 (0x3)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden]
新: DWORD: 0 (0)
舊: DWORD: 1 (0x1)
描述：使隱藏文件不可見   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\   HideFileExt]
新: DWORD: 1 (0x1)
舊: DWORD: 0 (0)
描述：使隱藏文件不可見