关于Recycle.exe病毒的分析

【名称】：recycle.exe病毒

【传播方式】：U盘

【属性】：木马

【测试环境】：windows xp sp3 、冰刃、Process MonitorV2.02H、File Monlter、combo防火墙免费版（功能全开，未更新）

【表现形式】：感染U盘，把U盘里根目录的文件夹隐藏为系统属性，并建立相同的文件名.exe文件，和recycle.exe系统隐藏文件，大小固定1.16mb，可显示的exe病毒表现为我的文档形式图标，在系统文件夹windows/system32下建立一个6个字符左右数字+大些字母随机名的文件夹，在下面的生成的是同名的病毒exe文件，为系统隐藏属性，在任务管理器里可以发现系统文件夹下的那个病毒名称（貌似插入U盘后出现）。病毒设置为自启动（注册表里有自启动键值），可能造成系统内核加载失败等问题（出现过）,使用监视工具Process MonitorV2.02H.exe运行病毒后崩溃，在启动组【开始】菜单的【启动】里写入了可见的启动项，冰刃无法找到病毒进程，在冰刃里发现安装了键盘和鼠标钩子(用于截获用户行为的)。

用File Monlter进行过滤选择发现打开了windows/Prefetch下的recycle.exe-0d0997f9.pf文件

读取文件：windows/system32/imm32.dll

windows/system32/lpk.dll

windows/system32/usp.dll

windows/system32/usp10.dll

windows/system32/guard32.dll

windows/system32/fltlib.dll/

windows/system32/winmm.dll

发现访问了msctfime.ime认为是具有键盘记录的

发现访问了iphlpapi.dll认为有ip函数调用（网络功能）

访问了ieframe.dll

往根目录里写了$convertToNonresident

创建了文件E_N4在temp目录

在E_N4下创建了krnln.fnr文件

E_n4下文件有

krnln.fnr

htmlview.fne

internet.fne

eAPI.fne

dp1.fne

【对系统的影响】：当有U盘插入电脑时，打开我的电脑会发生未响应的故障，强制拔出U盘，恢复正常，windows提示写入U盘的信息有可能损坏

在windows/system32/生成了病毒文件夹，并产生了recycle.exe文件和NT_.....exe文件拦截了5个要写入注册表的病毒文件大小1.16MB

【解决办法】：在文件夹选项里去掉隐藏系统文件选项，在任务管理器内找到病毒名称（可以在msconfig中找到一个启动选项）结束掉，并删掉系统文件夹windows/system32下的病毒文件夹和文件（msconfig里有路径），删掉【开始】菜单的【启动】选项里的快捷方式（用cmd解决病毒的系统属性）在注册表里查找病毒名称的键值删掉所有的键值，重启电脑，插入U盘，无病毒写入文件，问题解决。

U盘免疫办法：建立autorun.inf文件夹，建立reclyer.exe文件夹并进行删不掉处理。

 

 

分析有偏颇之处，还请见谅

【注】：

MD5:D41D8CD98F00B204E9800998ECF8427E

SH1:DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

CRC-32:00000000