“Trojan-Downloader.Win32.Deskbar.a”的意思、由来-中文百科全书

病毒标签

病毒名称： Trojan-Downloader.Win32.Deskbar.a

中文名称：任务栏工具

病毒类型：木马类

文件 MD5： C78AF6ADA588A283BF73FC02FF03FF42

公开范围：完全公开

危害等级：中等

文件长度：94,208 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual Basic 5.0 / 6.0

命名对照：驱逐舰[Trojan.Downloader.12194]

病毒描述

该病毒运行后，会释放病毒文件到%Windir%下，连接网络，下载病毒文件到本地运行，添加注册表开机启动项，以达到开机后运行病毒的目的。利用BHO对象定制IE，更改主页与默认搜索引擎，监视IE行为等。

行为分析

1、释放下列副本与文件

% Program Files%\\Deskbar\\Cache

% Program Files%\\Deskbar\\deskbar.dll

% Program Files%\\Deskbar\\deskbar.inf

% Program Files%\\Deskbar\\deskbar.crc

% Program Files%\\Deskbar\\inst.bat

% Program Files%\\Deskbar\\basis.xml

% Program Files%\\Deskbar\\about.html

% Windir%\\teller2.chk

% Windir%\\keyboard1.dat

C:\\ kybrdff_13.exe　Trojan-Downloader.Win32.VB.alg

C:\\dfndrff_13.exe Trojan-Clicker.Win32.VB.ly

C:\\ deskbar.exe

2、新建注册表键值：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Browser Helper Objects

DeskbarBHODeskbarDeskbar%program files%\\deskbar

\\deskbar.dll

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\defender

键值: 字符串: "c:\\\\dfndrff_13.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\keyboard

键值: 字符串: "c:\\\\kybrdff_13.exe"

HKEY_CURRENT_USER\\Software\\DBTB00001\\Deskbar

\\firstURL

键值: 字符串: http://deskbar.*****dtostart.com

/installed.asp

HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer

\\Main\\Default_Search_URL

键值: 字符串: "http://sear****r.findthewebsiteyouneed.com"

3、连接下列网址：

http://content.****arrevenue.com/

http://deskbar.****dtostart.com

http://www.****thewebsiteyouneed.com

http://sear*****.findthewebsiteyouneed.com http://www.****texplorer.com/

下载病毒文件

默认升级网站

设置本机IE主页

设置本机IE默认搜索引擎

设置本机Internet默认搜索引擎

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

dfndrff_13.exe

kybrdff_13.exe

explorer.exe

(2) 删除病毒文件

% Program Files%\\Deskbar\\*.*

C:\\ kybrdff_13.exe

C:\\dfndrff_13.exe

C:\\ deskbar.exe

% Windir%\\teller2.chk

% Windir%\\keyboard1.dat

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Browser Helper Objects

DeskbarBHODeskbarDeskbar%program files%\\deskbar

\\deskbar.dll

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\defender

键值: 字符串: "c:\\\\dfndrff_13.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\keyboard

键值: 字符串: "c:\\\\kybrdff_13.exe"

HKEY_CURRENT_USER\\Software\\DBTB00001\\Deskba

r\\firstURL

键值: 字符串: http://deskbar.*****dtostart.com

/installed.asp

HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplore

r\\Main\\Default_Search_URL

键值: 字符串: "http://sear****r.findthewebsiteyouneed.com"

词条	Trojan-Downloader.Win32.Deskbar.a
释义	病毒标签病毒描述行为分析清除方案病毒标签病毒名称： Trojan-Downloader.Win32.Deskbar.a 中文名称：任务栏工具病毒类型：木马类文件 MD5： C78AF6ADA588A283BF73FC02FF03FF42 公开范围：完全公开危害等级：中等文件长度：94,208 字节感染系统： Win9X以上系统开发工具： Microsoft Visual Basic 5.0 / 6.0 命名对照：驱逐舰[Trojan.Downloader.12194] 病毒描述该病毒运行后，会释放病毒文件到%Windir%下，连接网络，下载病毒文件到本地运行，添加注册表开机启动项，以达到开机后运行病毒的目的。利用BHO对象定制IE，更改主页与默认搜索引擎，监视IE行为等。行为分析 1、释放下列副本与文件 % Program Files%\\Deskbar\\Cache % Program Files%\\Deskbar\\deskbar.dll % Program Files%\\Deskbar\\deskbar.inf % Program Files%\\Deskbar\\deskbar.crc % Program Files%\\Deskbar\\inst.bat % Program Files%\\Deskbar\\basis.xml % Program Files%\\Deskbar\\about.html % Windir%\\teller2.chk % Windir%\\keyboard1.dat C:\\ kybrdff_13.exe　Trojan-Downloader.Win32.VB.alg C:\\dfndrff_13.exe Trojan-Clicker.Win32.VB.ly C:\\ deskbar.exe 2、新建注册表键值： HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Explorer\\Browser Helper Objects DeskbarBHODeskbarDeskbar%program files%\\deskbar \\deskbar.dll HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run\\defender 键值: 字符串: "c:\\\\dfndrff_13.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run\\keyboard 键值: 字符串: "c:\\\\kybrdff_13.exe" HKEY_CURRENT_USER\\Software\\DBTB00001\\Deskbar \\firstURL 键值: 字符串: http://deskbar.***dtostart.com /installed.asp HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer \\Main\\Default_Search_URL 键值: 字符串: "http://searr.findthewebsiteyouneed.com" 3、连接下列网址： http://content.arrevenue.com/ http://deskbar.dtostart.com http://www.thewebsiteyouneed.com http://sear*.findthewebsiteyouneed.com http://www.*texplorer.com/ 下载病毒文件默认升级网站设置本机IE主页设置本机IE默认搜索引擎设置本机Internet默认搜索引擎注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。清除方案 1、使用安天木马防线可彻底清除此病毒(推荐) 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 dfndrff_13.exe kybrdff_13.exe explorer.exe (2) 删除病毒文件 % Program Files%\\Deskbar\\.* C:\\ kybrdff_13.exe C:\\dfndrff_13.exe C:\\ deskbar.exe % Windir%\\teller2.chk % Windir%\\keyboard1.dat (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项 HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Explorer\\Browser Helper Objects DeskbarBHODeskbarDeskbar%program files%\\deskbar \\deskbar.dll HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run\\defender 键值: 字符串: "c:\\\\dfndrff_13.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run\\keyboard 键值: 字符串: "c:\\\\kybrdff_13.exe" HKEY_CURRENT_USER\\Software\\DBTB00001\\Deskba r\\firstURL 键值: 字符串: http://deskbar.***dtostart.com /installed.asp HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplore r\\Main\\Default_Search_URL 键值: 字符串: "http://sear**r.findthewebsiteyouneed.com"
随便看	媚妃乱后宫媚玑门门爱东门巴木碗门巴戏门巴乡门巴语门巴族门巴族服饰门巴族民歌门巴族民族门巴族文学门板门板湾古城门板湾遗址门宝珍门背后的秘密门背后的天堂门鼻儿门别町门炳岳门博会门不停宾门不夜关