概述
病毒別名:Trojan-Downloader.Win32.Small.rn【AVP】
處理時間:
威脅級別:★★
中文名稱:
病毒類型:木馬
影響系統:Win9x / WinNT
病毒行為:
這是一個木馬下載器,用於下載並運行木馬。它釋放許多DLL檔案並載入它們用來下載並運行病毒程式,修改IE主頁、搜尋頁面、收藏夾等設定,並盜取用戶系統信息等。
1.創建互斥量:Window目錄後加~a,例如C:\Windows~a,防止病毒的多個實例運行。
2.釋放多個檔案:
%system%\<隨機檔案名稱>.dll (長度: 1572,Win32.Troj.StartPage)
創建互斥量:kjnuwae0bskfd
下載指定檔案。
%system%\<隨機檔案名稱>.dll(長度: 9366,Win32.Troj.StartPage.sc)
創建互斥量:SysMemStat_service
釋放檔案:%SystemRoot%\\system32\\favico.dat (笑臉圖示,318位元組)
下載指定檔案,可能保存為:%SystemRoot%\\system32\\memtest32.sys
%system%\<隨機檔案名稱>.dll (長度: 2699,Win32.Troj.Small.rn)
下載指定檔案。
%system%\<隨機檔案名稱>.dll (長度: 2697,Win32.Troj.Small.rn)
下載指定檔案。
%system%\<隨機檔案名稱>.dll (長度: 2698,Win32.Troj.Small.rn)
下載指定檔案。
%system%\bardsmpn.exe
<當前目錄>\<病毒檔案名稱>.dat
下載檔案成功後就運行。
3.嘗試停止服務“wuauserv”
4.修改註冊表:
添加鍵值:
HKEY_CLASSES_ROOT\CLSID\<{隨機串}>
"默認"=hex:97,00,00,00,00,00,00,00,10,00,00,00,1e,a1,f0,d2,10,00,00,00,1e,a1,f0,d2,\
51,00,00,00,1e,00,00,00,10,00,00,00,61,61,73,70,62,74,64,78,00,01,00,00,00,\
10,00,00,00,72,78,7c,70,65,78,7d,69,65,7c,00,b5,00,00,00,10,00,00,00,61,70,\
44,45,41,43,65,78,00,b8,00,00,00,10,00,00,00,75,78,65,7f,75,62,00,60,00,00,\
00,10,00,00,00,63,7e,66,62,73,7a,00
修改IE設定:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page"="http://aaawebsearch.com/?b=xzy"
"Search Page"="http://aaawebsearch.com/?a=2&;b=xzy"
"Search Bar"="http://aaawebsearch.com/?a=2&;b=xzy"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
"SearchUrl"="http://aaawebsearch.com/?a=2&;b=xzy"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\
"SearchUrl"="http://aaawebsearch.com/?a=2&;b=xzy"
"SearchAssistant"="http://aaawebsearch.com/?a=2&;b=xzy"
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page"="http://aaawebsearch.com/?b=xzy"
"Search Page"="http://aaawebsearch.com/?a=2&;b=xzy"
"Search Bar"="http://aaawebsearch.com/?a=2&;b=xzy"
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\
"SearchUrl"="http://aaawebsearch.com/?a=2&;b=xzy"
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl\
"SearchUrl"="http://aaawebsearch.com/?a=2&;b=xzy"
"SearchAssistant"="http://aaawebsearch.com/?a=2&;b=xzy"
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
"Start Page"="http://aaawebsearch.com/?b=xzy"
"Search Page"="http://aaawebsearch.com/?a=2&;b=xzy"
"Search Bar"="http://aaawebsearch.com/?a=2&;b=xzy"
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\
"SearchUrl"="http://aaawebsearch.com/?a=2&;b=xzy"
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchUrl\
"SearchUrl"="http://aaawebsearch.com/?a=2&;b=xzy"
"SearchAssistant"="http://aaawebsearch.com/?a=2&;b=xzy"
5.在收藏夾中添加資料夾Free Hardcore Porn,在該資料夾添加色情網址。
