该病毒属木马类，它最主要的危害在于病毒运行后会下载好多其他恶意程序、广告插件到主机上运行。病毒运行后会修改注册表文件，在启动项中新建键值， 病毒还会尝试连接网络，下载病毒相关文件到本地的%Program Files%\\、%Temp%\\文件夹下运行，该病毒对用户有一定的危害。

基本信息

行为分析

清除方案

基本信息

病毒名称： Trojan-Downloader.Win32

中文名称： 变种

病毒类型： 木马

文件 MD5： 2BAFE93F5AE8260115098D1661B3DC83

公开范围： 完全公开

危害等级： 中

文件长度： 53,248 字节

感染系统： windows 98 及以上版本

开发工具： Microsoft Visual C++

加壳类型： 未知壳

命名对照： Symentec[无]

Mcafee[无]

行为分析

1、病毒运行后会修改注册表文件，在启动项中新建一些键值：

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：Saap

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：sahrd

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：sahre

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：saip

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：salm

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：saie

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：samds

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：sais

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：180ax

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：searchassistant

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：180sa

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：zango

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：msbb

......

2、病毒会尝试从以下网站下载病毒相关文件到本地运行：

http://install.x******/ist/scripts

/ist_shortcuts_list.php

http://install.x******/ist/softwares

/addins/rb32.exe

http://install.x******/ist/softwares

/addins/istsvc.exe

http://install.x******/ist/softwares/istupdates

/istsvc_updater.exe

http://install.x******/ist/softwares

/addins/bb.exe

http://install.x******/ist/softwares

/addins/igetnet.exe

http://install.x******/ist/softwares/addins

/lycos_ss.exe

http://install.x******/ist/softwares/addins

/statblaster.exe

http://install.x******/ist/softwares/addins

/ncase.exe

http://install.x******/ist/softwares/addins

/whenu.exe

http://install.x******/ist/softwares/addins

/keywordsinc.exe

http://install.x******/ist/softwares/addins

/commonname.exe

http://install.x******/ist/softwares/addins

/optimize.exe

http://install.x******/ist/softwares/addins

/sexy_download.exe

http://install.x******/ist/softwares/toolbars

/istbar_mainstream.dll

http://install.x******/ist/softwares/addins

/powerscan.exe

3、病毒将下载的病毒相关文件释放到以下位置，待下载完一个病毒文件后，病毒便会修改注册表文件，尝试删除这个病毒副本。

%Program Files\\ISTbar\\istbarcm.dll

%Program Files\\ISTsvc\\istsvc.exe

%Program Files\\SACC\\sacc.exe

%Program Files%\\180Solutions\\sais.exe

%Program Files%\\ISTbar\\istbar.dll

%Program Files%\\YourSiteBar\\ysb.dll

%Program Files%\\PowerScan\\powerscan.exe

%Windows%\\<random name>.exe

%Temp%\\targetsaver.exe

%Temp%\\optimize.exe

%Temp%\\webrebates.exe

%Temp%\\hli.exe

%Temp%\\sidefind.exe

%Temp%\\cxtpls_loader.exe

%Temp%\\dealhelper.exe

%Temp%\\sahagent.exe

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒相关文件：

%Program Files\\ISTbar\\istbarcm.dll

%Program Files\\ISTsvc\\istsvc.exe

%Program Files\\SACC\\sacc.exe

%Program Files%\\180Solutions\\sais.exe

%Program Files%\\ISTbar\\istbar.dll

%Program Files%\\YourSiteBar\\ysb.dll

%Program Files%\\PowerScan\\powerscan.exe

%Windows%\\<random name>.exe

%Temp%\\targetsaver.exe

%Temp%\\optimize.exe

%Temp%\\webrebates.exe

%Temp%\\hli.exe

%Temp%\\sidefind.exe

%Temp%\\cxtpls_loader.exe

%Temp%\\dealhelper.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：Saap

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：sahrd

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：sahre

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：saip

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：salm

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：saie

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：samds

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：sais

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：180ax

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：searchassistant

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：180sa

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：zango

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

键值：字串：msbb