Trojan-Downloader.Win32.Small.dts

Trojan-Downloader.Win32.Small.dts病毒屬木馬類,病毒運行後連線網路,衍生病毒檔案DesktopWin.dll到%Windir% 。

病毒簡介

病毒名稱: Trojan-Downloader.Win32.Small.dts
病毒類型: 木馬
檔案 MD5: CF02F1C7C677C86CE4B76DA518ECFD1D
公開範圍: 完全公開
危害等級: 3
檔案長度: 19,968 位元組
感染系統: windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
命名對照: 驅逐艦[Trojan.Downloader.12774]
BitDefender [Trojan.Downloader.Small.BRQ]

病毒描述

病毒木馬類,病毒運行後連線網路,衍生病毒檔案DesktopWin.dll到%Windir%
\AppPatch 下;新增註冊表項,創建CLSID值,添加啟動項,在ShellServiceObjectDelayLoad鍵下添加DesktopWin鍵值,當系統啟動時利用Explorer.exe進程自動載入病毒組件,並查找此鍵下是否存在JavaView鍵值,若存在,便刪除;以命令行方式調用rundll32.exe,由rundll32.exe創建%Windir%
\AppPatch\AclLayer.dll檔案;當該病毒執行完自身代碼後,會結束自身進程,在
%System32%下衍生unxxx.bat,目的是為了刪除該病毒檔案和自身;連線網路,下載大
量病毒檔案並在本機運行。下載檔案,在下載的檔案%WINDOWS%\SoftwareDistribution\Download\d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9中包括廣告件,修改註冊表。

行為分析

1、病毒運行後連線網路,下載檔案:
連線網路:
IP:
202.102.249.62
202.102.249.134
域名:
soft.baiso.com.cn
ad.baiso.com.cn
down.baiso.com.cn
下載檔案:
%WINDOWS%\SoftwareDistribution\Download\d15ab3599021d25ed2a3
4ec2834fe2b6fe0da3d9
%WINDOWS%\system32\0848\baisoa\adout.dat
%WINDOWS%\system32\0848\baisoa\up.dat
%WINDOWS%\system32\0848\baisoa\update\adout.dat
%WINDOWS%\system32\0848\baisoa\update\up.dat
%WINDOWS%\system32\0848\baisoa\update\updatefile.lst
%WINDOWS%\system32\0848\baisoa\updatefile.lst
檔案d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9中的廣告件:
GENINST.EXE
GENUINST.EXE
INSTALL_FP6_WU.EXE
2、檔案運行後會釋放以下檔案:
%Windir%\AppPatch\AclLayer.dll 9,728 位元組
%Windir%\AppPatch\DesktopWin.dll 14,336位元組
3、新增註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }
\InProcServer32]
註冊表值: "@ "
類型: REG_SZ
字元串: "C:\WINDOWS\AppPatch\DesktopWin.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }
\InProcServer32]
註冊表值: "ThreadingModel"
類型: REG_SZ
字元串: "Apartment"
描述:註冊CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]
註冊表值: "DesktopWin"
類型: REG_SZ
字元串: "{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }"
描述: 當系統啟動時利用Explorer.exe進程自動載入病毒組件
4、 在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]鍵下查找是否存在JavaView,若存在此項,
便刪除。
5、 以命令行方式調用rundll32.exe,由rundll32.exe創建
%Windir%\AppPatch\AclLayer.dll檔案。
6、 當該病毒執行完自身代碼後,會結束自身進程,在%System32%下衍生unxxx.bat,
目的是為了刪除該病毒檔案和自身。

網路行為

連線網路下載病毒檔案,並在本機運行:
協定:HTTP
連線埠:80
http://60.191.223.**/11.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://60.191.223.**/12.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
http://60.191.223.**/13.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.said
http://60.191.223.**/15.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://60.191.223.**/16.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://60.191.223.**/17.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
http://60.191.223.**/18.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.satb
http://60.191.223.**/19.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasz
http://60.191.223.**/20.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.satc
http://60.191.223.**/21.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
http://60.191.223.**/22.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sbqw
http://60.191.223.**/23.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sata
http://60.191.239.***/14.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sata
http://60.191.239.***/24.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.savj
http://60.191.239.***/25.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.satq
http://60.191.239.***/26.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sbpv
vhttp://60.191.239.***/A.gif
病毒名:Trojan.Win32.Agent.qnz
http://60.191.239.***/C.gif
病毒名:Trojan-Downloader.Win32.Small.xwr
http://60.191.239.***/D.gif
病毒名:Trojan.Win32.Agent.qnw
協定:DNS
連線埠:53
http://60.191.223.**/moon.asp
病毒名:Trojan-Spy.Win32.FtpSend.b
http://125.83.89.**/1.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
http://125.83.89.**/2.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://125.83.89.**/4.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasv
http://125.83.89.**/5.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxwy
http://222.216.28.***/6.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sats
http://222.216.28.***/7.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxa
http://222.216.28.***/8.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://222.216.28.***/9.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://222.216.28.***/10.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasr
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的
位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32 
--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2)刪除病毒衍生的檔案:
%Windir%\AppPatch\AclLayer.dll
%Windir%\AppPatch\DesktopWin.dll
%Windir%\AppPatch\AcSpecf.dll
%Windir%\AppPatch\AcXtrnel.bpl
%Windir%\Downloaded Program Files\ThunderAdvise.dll
%System32%\aitlasys.exe
%System32%\akjsfkaq.dll
%System32%\apsggjba.dll
%System32%\apzhctde.dll
%System32%\axmsawin.exe
%System32%\azcbaime.exe
%System32%\azwlaime.exe
%System32%\azzxaime.exe
%System32%\ciwdaapi.sys
%System32%\dazfajke.exe
%System32%\dehxaklo.exe
%System32%\detxbiua.dll
%System32%\drivers\eth8023.sys
%System32%\dtzfajke.sys
%System32%\erjxakin.sys
%System32%\fd233ds4f3.dll
%System32%\fdtxaiua.exe
%System32%\fstlbsys.sys
%System32%\fxcbbime.sys
%System32%\fxwlbime.sys
%System32%\fxzxbime.sys
%System32%\fzmsbwin.sys
%System32%\gajzalit.sys
%System32%\gpsgajba.sys
%System32%\gpzhatde.sys
%System32%\gsdhadwd.sys
%System32%\hdf453d.dll
%System32%\ictxaiua.sys
%System32%\ijsgajba.sys
%System32%\ijzhatde.sys
%System32%\isdsasrv.exe
%System32%\ismhasrv.exe
%System32%\jkhxaklo.dll
%System32%\lpmxajkl.exe
%System32%\lpsgajba.exe
%System32%\lpzhatde.exe
%System32%\mkjsakaq.exe
%System32%\mndhfdwd.dll
%System32%\mndshsrv.dll
%System32%\mnmhgsrv.dll
%System32%\mpwdeapi.dll
%System32%\ngjxakin.sys
%System32%\nhmxejkl.dll
%System32%\onjzalit.exe
%System32%\ozfyebyt.dll
%System32%\pldhadwd.exe
%System32%\pqzfajke.dll
%System32%\pzwlaime.sys
%System32%\qbhxaklo.sys
%System32%\rijxbkin.dll
%System32%\rnmxajkl.sys
%System32%\sdjsakaq.sys
%System32%\simyaapi.exe
%System32%\siwdaapi.exe
%System32%\smdsbsrv.sys
%System32%\smmhbsrv.sys
%System32%\snfybbyt.sys
%System32%\spmybapi.sys
%System32%\spwdbapi.sys
%System32%\sqjsakaq.sys
%System32%\stjxakin.exe
%System32%\tjfyabyt.exe
%System32%\vlhxaklo.sys
%System32%\wymxajkl.sys
%System32%\xzcsbhlp.sys
%System32%\yxcschlp.dll
%System32%\zptlcsys.dll
%System32%\zxcsahlp.exe
%System32%\zxmsewin.dll
%System32%\zycbdime.dll
%System32%\zywlcime.dll
%System32%\zyzxjime.dll
(3)刪除病毒添加的註冊表項
刪除[HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\CLSID]下的
{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }子鍵
刪除[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]下的DesktopWin值

相關搜尋

熱門詞條

聯絡我們