Trojan-Downloader.Win32.Small.czo

Trojan-Downloader.Win32.Small.czo

該病毒屬木馬類。病毒運行後複製自身到 %system32% 下及其附屬目錄下;在所有盤幅根目錄下創建病毒副本,檔案名稱為 setup.exe ,並衍生病毒檔案 autorun.inf ,達到隨雙擊盤幅啟動病毒的目的;修改註冊表,添加兩處啟動項、創建服務,以達到隨機啟動的目的;鎖定隱藏檔案選項,使用戶無法顯示隱藏檔案。訪問網路,下載病毒檔案。

病毒簡介

病毒名稱: Trojan-Downloader.Win32.Small.czo

病毒類型: 木馬

檔案 MD5: 120521DB73BBF1D0A8BDFB90E2D758B

公開範圍: 完全公開

危害等級: 3

檔案長度: 14,689 位元組

感染系統: windows 98以上版本

開發工具: Microsoft Visual C++ 6.0

加殼工具: FSG 2.0 -> bart/xt

行為分析

1 、病毒運行後複製自身到 %system32% 及其附屬目錄下,並在所有盤根目錄下創建病毒檔案副本,並衍生病毒檔案。

%system23%\ internt.exe

%system32%\progmon.exe

%system32%\IME\svchost.exe

% 各驅動器根目錄 %\setup.exe

% 各驅動器根目錄 %\autorun.inf

2 、修改註冊表,添加兩處啟動項,以達到隨機啟動的目的:

HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows\CurrentVersion\Run

新建鍵值:字串:"Internt"="C:

\WINDOWS\system32\internt.exe"

HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows\CurrentVersion\Run

新建鍵值:字串:"Program file"="C:

\WINDOWS\system32\progmon.exe"

3 、修改註冊表,創建服務,以達到隨機啟動的目的:

服務名稱: Alerter COM+

映像路徑: %system32%\IME\svchost.exe

啟動方式:自動

4、鎖定隱藏檔案選項,使用戶無法顯示隱藏檔案:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL\CheckedValue

新鍵值: DWORD: 0(0)

原鍵值: DWORD: 1 (0x1)

5、禁止 IE 使用代理伺服器:

HKEY_USERS\S-1-5-18\Software

\Microsoft\Windows\CurrentVersion

\Internet Settings\ProxyEnable

新建鍵值: DWORD: 0 (0)

HKEY_USERS\.DEFAULT\Software

\Microsoft\Windows\CurrentVersion

\Internet Settings\ProxyEnable

新建鍵值: DWORD: 0 (0)

6、 連線網路,下載病毒檔案:

網址: http://w.d*y52*.com

路徑:

/0.exe  Trojan-Spy.Win32.Delf.vr

/nogui.exe  為 winpacp3.0 安裝檔案

/wpcap.dll  winpacp 相關庫檔案

/psexec.exe     一個低許可權遠端命令行執行工具

/Server.exe  下載病毒原程式作為副本

/arp.exe    網路嘆嗅工具

/down/game01.exe  Trojan-Proxy.Win32.Small.du

/down/game02.exe  Trojan-Proxy.Win32.Small.du

/down/game03.exe  Trojan-Proxy.Win32.Small.du

/down/game04.exe  Trojan-Proxy.Win32.Small.du

/down/game05.exe  Trojan-Proxy.Win32.Small.du

/down/game06.exe  Trojan-Proxy.Win32.Small.du

/down/game07.exe  Trojan-Proxy.Win32.Small.du

/down/game08.exe  Trojan-Proxy.Win32.Small.du

/down/game09.exe  Trojan-Proxy.Win32.Small.du

/down/game10.exe  Trojan-PSW.Win32.OnLineGames.nn

/down/game11.exe  Trojan-PSW.Win32.OnLineGames.nt

/down/game12.exe  Trojan-PSW.Win32.OnLineGames.od

/down/game13.exe  Trojan-PSW.Win32.OnLineGames.zb

/down/game14.exe  Trojan-PSW.Win32.OnLineGames.rd

/down/game15.exe  Trojan-PSW.Win32.OnLineGames.yn

/down/game16.exe  Trojan-PSW.Win32.OnLineGames.xt

/down/game17.exe  Trojan-PSW.Win32.OnLineGames.yk

/down/game18.exe  Trojan-PSW.Win32.OnLineGames.wh

/down/game19.exe  Trojan-PSW.Win32.OnLineGames.xi

/down/game20.exe  Trojan-PSW.Win32.OnLineGames.zq

註:%vsystem32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 vsystem32

資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\system32 ,windows95/98/me/xp 中默認的安裝路徑是 C:\Windows\system32 。

清除方案

1 、使用安天木馬防線可徹底清除此病毒 ( 推薦 )

2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。

(1)使用 安天木馬防線 “進程/服務管理”關閉病毒進程

(2) 刪除病毒檔案:

%system23%\ internt.exe

%system32%\progmon.exe

%system32%\IME\svchost.exe

% 各驅動器根目錄 %\setup.exe

% 各驅動器根目錄 %\autorun.inf

(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。

HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows\CurrentVersion\Run

新建鍵值: 字串: "Internt"="C:\WINDOWS

\system32\internt.exe"

HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows\CurrentVersion\Run

新建鍵值: 字串: "Program file"="C:

\WINDOWS\system32\progmon.exe"

HKEY_USERS\S-1-5-18\Software

\Microsoft\Windows\CurrentVersion

\Internet Settings\ProxyEnable

新建鍵值: DWORD: 0 (0)

HKEY_USERS\.DEFAULT\Software

\Microsoft\Windows\CurrentVersion

\Internet Settings\ProxyEnable

新建鍵值 : DWORD: 0 (0)

刪除下面項的所有子項:

HKEY_LOCAL_MACHINE\SYSTEM

\ControlSet001\Services

\Alerter COM+

恢復註冊表原鍵值:

HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Windows\CurrentVersion

\Explorer\Advanced\Folder

\Hidden\SHOWALL\CheckedValue

新鍵值: DWORD: 0 (0)

原鍵值: DWORD: 1 (0x1)

熱門詞條

聯絡我們