病毒名称： Worm.Win32.Rabbit.a
中文名称： 兔子
病毒类型： 蠕虫类
文件 MD5： c1d4ed9b369d8f37743d42105d716a5b
公开范围： 完全公开
危害等级： 5
文件长度： 加壳后 195,313 字节，脱壳后446,464 字节
感染系统： Win9X以上系统
开发工具： Microsoft Visual Basic 5.0 / 6.0
加壳类型： RLPack

　　该病毒运行后，连接网络下载病毒体到本机运行。衍生病毒副本到系统目录，添加注册表IE
扩展项以跟随IE启动。插入病毒线程到Winlogon进程中，不断检测病毒进程是否存在，如无则创
建。并禁用掉注册表，查寻不利病毒程序予以关闭，例如gpedit.msc。遍历ProgramFiles目录，
替换扩展名为.EXE的文件为病毒副本。

1 、衍生病毒文件到下列目录：

　　　　[DriveLetter]\1.exe
　　　　[DriveLetter]\1.txt
　　　　[DriveLetter]\AutoRun.inf
　　　　[DriveLetter]\Rabbit.exe
　　　　%WinDir%\GHO.bat
　　　　%WinDir%\GHO.inf
　　　　%WinDir%\ILTZ.bat
　　　　%WinDir%\ILTZ.inf
　　　　%WinDir%\IOTZ.bat
　　　　%WinDir%\IOTZ.inf
　　　　%System32%\JK~.exe
　　　　%System32%\loveRabbit~.exe
　　　　%System32%\msexch400.dll
　　　　%System32%\Rabbit.exe

2 、新建下列注册表键值：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\
　　　　{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath
　　　　Value: String: "%WinDir\system32\JK~.exe"

3 、删除下列注册表键值：

　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
　　　　InternetSettings\5.0\Cache\Extensible Cache\
　　　　MSHist012007041020070411\CachePrefix
　　　　Value: String: ":2007041020070411: "
　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
　　　　Internet Settings\5.0\Cache\Extensible Cache\
　　　　MSHist012007041020070411\CacheRepair
　　　　Value: DWORD: 0 (0)
　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\
　　　　Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
　　　　Value: String: "DiskDrive"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\
　　　　Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
　　　　Value: String: "DiskDrive"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
　　　　Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
　　　　Value: String: "DiskDrive"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
　　　　Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\@
　　　　Value: String: "DiskDrive"

4 、病毒调用下列 .bat 及 .inf 文件，遍历 ProgramFiles 目录，搜索 .EXE 文件，替换为
　　病毒副本 , 同时搜索 .GHO 文件，替换为病毒副本，以防止用户恢复备份。

　　　　%WinDir%\GHO.bat
　　　　%WinDir%\GHO.inf
　　　　%WinDir%\ILTZ.bat
　　　　%WinDir%\ILTZ.inf
　　　　%WinDir%\IOTZ.bat
　　　　%WinDir%\IOTZ.inf

5 、由于病毒替换掉正常可执行程序，原有程序正常关联仍存在，所以，当用户调用正常程序时，
　　如 IE ，即可能触发病毒体。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用安天木马防线断开网络，结束病毒进程：
　　　　　　%System32%\loveRabbit~.exe
　　　　　　使用安天木马防线进程管理功能摘除 winlogon.exe 中的
　　　　　　msexch400.dll 文件 .
　 　 (2) 删除病毒释放文件：
　　　　　　[DriveLetter]\1.exe
　　　　　　[DriveLetter]\1.txt
　　　　　　[DriveLetter]\AutoRun.inf
　　　　　　[DriveLetter]\Rabbit.exe
　　　　　　%WinDir%\GHO.bat
　　　　　　%WinDir%\GHO.inf
　　　　　　%WinDir%\ILTZ.bat
　　　　　　%WinDir%\ILTZ.inf
　　　　　　%WinDir%\IOTZ.bat
　　　　　　%WinDir%\IOTZ.inf
　　　　　　%System32%\JK~.exe
　　　　　　%System32%\loveRabbit~.exe
　　　　　　%System32%\msexch400.dll
　　　　　　%System32%\Rabbit.exe
　 　 (3)建议用 Windows 系统光盘恢复 Windows 文件，使用安天木马防线
　　　　 扫描全盘。

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net