病毒綜述
病毒標籤:
病毒名稱: Trojan-Downloader.Win32.Small.ewy
中文名稱: 露珠
病毒類型: 木馬
檔案 MD5: A120521DB73BBF1D0A8BDFB90E2D758B
公開範圍: 完全公開
危害等級: 中等
檔案長度: 脫殼前14,689 位元組,脫殼後71,680 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual C++ 6.0
加殼工具: FSG 2.0 -> bart/xt
病毒描述
該病毒運行後,添加註冊表自動運行項與服務項,衍生病毒檔案到系統目錄下。
病毒的主要行為為關閉對病毒不利的安全程式,並連線遠程地址下載病毒體。
行為分析:
1 、衍生下列副本與檔案:
%System32%\progmon.exe
%System32%\internt.exe
%System32%\IME\svchost.exe
2 、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Internt
Value: String: "%WINDIR%System32\internt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Program file
RunServices\msvcc25
Value: String: "%WINDIR%System32\progmon.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\alerter COM+\DisplayName
Value: String: "Alerter COM+"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+\ImagePath
Value: Type: REG_EXPAND_SZ Length: 36 (0x24) bytes
%WINDIR%System32\IME\svchost.exe.
3 、修改下列註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
4 、 連線遠程地址:
60.190.114.*** 80
5 、匹配下列視窗標題,如有則關閉視窗:
Windows 任務管理器
安全衛士
Virus
病毒
firewall
Process
anti
木馬
最佳化
查殺
down
卡巴
超級巡警
專殺
掃描
6 、病毒試圖通過自身攜帶的用戶名與弱口令列表通過網路傳播。
7 、病毒會在移動存儲設備中生成自動運行檔案,以傳播自身。
註: %System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的
安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線關閉下列進程:
%System32%\IME\svchost.exe
(2) 恢復註冊表項為舊值並打開隱藏檔案選項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL\CheckedValue
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
(3) 刪除病毒釋放檔案:
%System32%\progmon.exe
%System32%\internt.exe
%System32%\IME\svchost.exe
