Trojan-Downloader.Win32.Dyfuca.du

病毒綜述

病毒名稱： Trojan-Downloader.Win32.Dyfuca.du
病毒類型： 木馬
危害等級： 中
檔案長度： 52,104 位元組
感染系統： windows 9x 以上版本
開發工具： VisualC++
加殼類型： PEtite 2.2

病毒描述

該病毒會將自身拷貝到Program Files\Internet Optimizer目錄下。在運行前，會顯示一個同意許可視窗，這種行為比較少見，一般用戶並不會想到它是病毒，從而達到欺騙用戶的目的。該病毒會收集感染主機訪問過的站點詳細信息，並傳送給遠端的伺服器。連線伺服器，下載惡意程式並運行。修改註冊表，加入啟動項，釋放病毒及相關檔案。
行為分析：
1 、運行前會彈出一個同意許可視窗，等待用戶允許運行。
2 、複製自身到 Program Files\Internet Optimizer\optimize.exe
目錄下，釋放病毒相關檔案 %system%nem220.dll 。
3 、 把染毒計算機訪問過的站點詳細信息傳送給伺服器，並下載病毒到本機運行。
4 、修改註冊表，添加啟動項、新建項：
HKEY_LOCAL_MACHINE\SOFTWARE\Avenue Media
\Internet Optimizer\Browser Helper\Upgrade\Name
鍵值 : 字串 : "nem220.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Avenue Media\
Internet Optimizer\Browser Helper\Upgrade\Url
鍵值 : 字串 : http://cdn2.moviesetc.com/io/downloads/3/nem220.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Avenue Media\Internet Optimizer\TAC
鍵值 : 字串 : "Yes"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Internet Optimizer
鍵值 : 字串 : ""C:\ProgramFiles\InternetOptimizer\optimize.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\Internet Optimizer\DisplayIcon
鍵值 : 字串 : "C:\Program Files\Internet Optimizer\optimize.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\Internet Optimizer\UninstallString
鍵值 : 字串 : ""C:\Program Files\InternetOptimizer\optimize.exe" /u"