Email-Worm.Win32.Rays分析

一、病毒标签：
病毒名称： Email-Worm.Win32.Rays
病毒类型： 蠕虫类
文件 MD5： 44BE9425394FF910ADB2494981B54C16
公开范围： 完全公开
危害等级： 4
文件长度： 53,248 字节
感染系统： Windows98以上版本
开发工具： 53,248 字节
加壳类型： 无

二、病毒描述：

该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件。 修改注册表，添加启动项，以达到随机启动的目的。修改注册表使隐藏文件不可见; 连接网络，以自身为邮件附件发送Email。

三、行为分析：

1、 文件运行后会衍生以下文件
%WinDir%\ Mstray.exe             53,248字节

2、 新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值：" RavTimeXP "
类型： REG_SZ
值： " C:\WINDOWS\Mstray.exe "
描述：添加启动项，以达到随机启动的目的
  旧: DWORD: 3 (0x3)

3、修改注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述：使隐藏文件不可见
 
4、 修改注册表键值
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt]
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
描述：使隐藏文件不可见

5、连接网络，以自身为邮件附件发送Email  

注释：
%Windir%           WINDODWS所在目录
%DriveLetter%       逻辑驱动器根目录
%ProgramFiles%       系统程序默认安装目录
%HomeDrive%         当前启动系统所在分区
%Documents and Settings%   当前用户文档根目录
%Temp%           当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%         是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。


四、 清除方案：
手工清除请按照行为分析删除对应文件，恢复相关系统设置。
 
(1) 强行删除病毒文件
%WinDir%\ Mstray.exe             53,248字节

(2) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值：" RavTimeXP "
类型： REG_SZ
值： " C:\WINDOWS\Mstray.exe "
描述：添加启动项，以达到随机启动的目的
旧: DWORD: 3 (0x3)
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden]
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
描述：使隐藏文件不可见   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\   HideFileExt]
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
描述：使隐藏文件不可见