該病毒屬木馬類。病毒運行後複製自身到 %system32% 下及其附屬目錄下;在所有盤幅根目錄下創建病毒副本,檔案名稱為 setup.exe ,並衍生病毒檔案 autorun.inf ,達到隨雙擊盤幅啟動病毒的目的;修改註冊表,添加兩處啟動項、創建服務,以達到隨機啟動的目的;鎖定隱藏檔案選項,使用戶無法顯示隱藏檔案。訪問網路,下載病毒檔案。
基本介紹
- 外文名:Trojan-Downloader.Win32.Small.czo
- 病毒類別:木馬
- 公開範圍:完全公開
- 危害等級:3
病毒簡介,行為分析,清除方案,
病毒簡介
病毒名稱: Trojan-Downloader.Win32.Small.czo
病毒類型: 木馬
檔案 MD5: 120521DB73BBF1D0A8BDFB90E2D758B
公開範圍: 完全公開
危害等級: 3
檔案長度: 14,689 位元組
感染系統: windows 98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼工具: FSG 2.0 -> bart/xt
行為分析
1 、病毒運行後複製自身到 %system32% 及其附屬目錄下,並在所有盤根目錄下創建病毒檔案副本,並衍生病毒檔案。
%system23%\ internt.exe
%system32%\progmon.exe
%system32%\IME\svchost.exe
% 各驅動器根目錄 %\setup.exe
% 各驅動器根目錄 %\autorun.inf
2 、修改註冊表,添加兩處啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run
新建鍵值:字串:"Internt"="C:
\WINDOWS\system32\internt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run
新建鍵值:字串:"Program file"="C:
\WINDOWS\system32\progmon.exe"
3 、修改註冊表,創建服務,以達到隨機啟動的目的:
服務名稱: Alerter COM+
映像路徑: %system32%\IME\svchost.exe
啟動方式:自動
4、鎖定隱藏檔案選項,使用戶無法顯示隱藏檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新鍵值: DWORD: 0(0)
原鍵值: DWORD: 1 (0x1)
5、禁止 IE 使用代理伺服器:
HKEY_USERS\S-1-5-18\Software
\Microsoft\Windows\CurrentVersion
\Internet Settings\ProxyEnable
新建鍵值: DWORD: 0 (0)
HKEY_USERS\.DEFAULT\Software
\Microsoft\Windows\CurrentVersion
\Internet Settings\ProxyEnable
新建鍵值: DWORD: 0 (0)
6、 連線網路,下載病毒檔案:
網址: http://w.d*y52*.com
路徑:
/0.exe Trojan-Spy.Win32.Delf.vr
/nogui.exe 為 winpacp3.0 安裝檔案
/wpcap.dll winpacp 相關庫檔案
/psexec.exe 一個低許可權遠端命令行執行工具
/Server.exe 下載病毒原程式作為副本
/arp.exe 網路嘆嗅工具
/down/game01.exe Trojan-Proxy.Win32.Small.du
/down/game02.exe Trojan-Proxy.Win32.Small.du
/down/game03.exe Trojan-Proxy.Win32.Small.du
/down/game04.exe Trojan-Proxy.Win32.Small.du
/down/game05.exe Trojan-Proxy.Win32.Small.du
/down/game06.exe Trojan-Proxy.Win32.Small.du
/down/game07.exe Trojan-Proxy.Win32.Small.du
/down/game08.exe Trojan-Proxy.Win32.Small.du
/down/game09.exe Trojan-Proxy.Win32.Small.du
/down/game10.exe Trojan-PSW.Win32.OnLineGames.nn
/down/game11.exe Trojan-PSW.Win32.OnLineGames.nt
/down/game12.exe Trojan-PSW.Win32.OnLineGames.od
/down/game13.exe Trojan-PSW.Win32.OnLineGames.zb
/down/game14.exe Trojan-PSW.Win32.OnLineGames.rd
/down/game15.exe Trojan-PSW.Win32.OnLineGames.yn
/down/game16.exe Trojan-PSW.Win32.OnLineGames.xt
/down/game17.exe Trojan-PSW.Win32.OnLineGames.yk
/down/game18.exe Trojan-PSW.Win32.OnLineGames.wh
/down/game19.exe Trojan-PSW.Win32.OnLineGames.xi
/down/game20.exe Trojan-PSW.Win32.OnLineGames.zq
註:%vsystem32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 vsystem32
資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\system32 ,windows95/98/me/xp 中默認的安裝路徑是 C:\Windows\system32 。
清除方案
1 、使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用 安天木馬防線 “進程/服務管理”關閉病毒進程
(2) 刪除病毒檔案:
%system23%\ internt.exe
%system32%\progmon.exe
%system32%\IME\svchost.exe
% 各驅動器根目錄 %\setup.exe
% 各驅動器根目錄 %\autorun.inf
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run
新建鍵值: 字串: "Internt"="C:\WINDOWS
\system32\internt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run
新建鍵值: 字串: "Program file"="C:
\WINDOWS\system32\progmon.exe"
HKEY_USERS\S-1-5-18\Software
\Microsoft\Windows\CurrentVersion
\Internet Settings\ProxyEnable
新建鍵值: DWORD: 0 (0)
HKEY_USERS\.DEFAULT\Software
\Microsoft\Windows\CurrentVersion
\Internet Settings\ProxyEnable
新建鍵值 : DWORD: 0 (0)
刪除下面項的所有子項:
HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services
\Alerter COM+
恢復註冊表原鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder
\Hidden\SHOWALL\CheckedValue
新鍵值: DWORD: 0 (0)
原鍵值: DWORD: 1 (0x1)
