“Trojan-Downloader.Win32.Small.dts”的意思、由来-中文百科全书

病毒简介

病毒名称： Trojan-Downloader.Win32.Small.dts

病毒类型：木马

文件 MD5： CF02F1C7C677C86CE4B76DA518ECFD1D

公开范围：完全公开

危害等级： 3

文件长度： 19,968 字节

感染系统： windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.22

命名对照：驱逐舰[Trojan.Downloader.12774]

BitDefender [Trojan.Downloader.Small.BRQ]

病毒描述

该病毒属木马类，病毒运行后连接网络，衍生病毒文件DesktopWin.dll到%Windir%

\\AppPatch 下；新增注册表项，创建CLSID值，添加启动项，在ShellServiceObjectDelayLoad键下添加DesktopWin键值，当系统启动时利用Explorer.exe进程自动加载病毒组件，并查找此键下是否存在JavaView键值，若存在,便删除；以命令行方式调用rundll32.exe，由rundll32.exe创建%Windir%

\\AppPatch\\AclLayer.dll文件；当该病毒执行完自身代码后，会结束自身进程，在

%System32%下衍生unxxx.bat，目的是为了删除该病毒文件和自身；连接网络，下载大

量病毒文件并在本机运行。下载文件，在下载的文件%WINDOWS%\\SoftwareDistribution\\Download\\d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9中包括广告件，修改注册表。

行为分析

1、病毒运行后连接网络，下载文件：

连接网络：

IP：

202.102.249.62

202.102.249.134

域名：

soft.baiso.com.cn

ad.baiso.com.cn

down.baiso.com.cn

下载文件：

%WINDOWS%\\SoftwareDistribution\\Download\\d15ab3599021d25ed2a3

4ec2834fe2b6fe0da3d9

%WINDOWS%\\system32\\0848\\baisoa\\adout.dat

%WINDOWS%\\system32\\0848\\baisoa\\up.dat

%WINDOWS%\\system32\\0848\\baisoa\\update\\adout.dat

%WINDOWS%\\system32\\0848\\baisoa\\update\\up.dat

%WINDOWS%\\system32\\0848\\baisoa\\update\\updatefile.lst

%WINDOWS%\\system32\\0848\\baisoa\\updatefile.lst

文件d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9中的广告件：

GENINST.EXE

GENUINST.EXE

INSTALL_FP6_WU.EXE

2、文件运行后会释放以下文件：

%Windir%\\AppPatch\\AclLayer.dll 9,728 字节

%Windir%\\AppPatch\\DesktopWin.dll 14,336字节

3、新增注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }

\\InProcServer32]

注册表值: "@ "

类型： REG_SZ

字符串： "C:\\WINDOWS\\AppPatch\\DesktopWin.dll"

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }

\\InProcServer32]

注册表值: "ThreadingModel"

类型： REG_SZ

字符串： "Apartment"

描述：注册CLSID值

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion

\\ShellServiceObjectDelayLoad]

注册表值: "DesktopWin"

类型： REG_SZ

字符串： "{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }"

描述: 当系统启动时利用Explorer.exe进程自动加载病毒组件

4、在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

\\ShellServiceObjectDelayLoad]键下查找是否存在JavaView，若存在此项，

便删除。

5、以命令行方式调用rundll32.exe，由rundll32.exe创建

%Windir%\\AppPatch\\AclLayer.dll文件。

6、当该病毒执行完自身代码后，会结束自身进程，在%System32%下衍生unxxx.bat，

目的是为了删除该病毒文件和自身。

网络行为

连接网络下载病毒文件，并在本机运行：

协议：HTTP

端口：80

http://60.191.223.**/11.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxxp

http://60.191.223.**/12.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxyp

http://60.191.223.**/13.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.said

http://60.191.223.**/15.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxxz

http://60.191.223.**/16.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxxz

http://60.191.223.**/17.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sasu

http://60.191.223.**/18.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.satb

http://60.191.223.**/19.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sasz

http://60.191.223.**/20.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.satc

http://60.191.223.**/21.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sasu

http://60.191.223.**/22.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sbqw

http://60.191.223.**/23.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sata

http://60.191.239.***/14.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sata

http://60.191.239.***/24.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.savj

http://60.191.239.***/25.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.satq

http://60.191.239.***/26.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sbpv

vhttp://60.191.239.***/A.gif

病毒名：Trojan.Win32.Agent.qnz

http://60.191.239.***/C.gif

病毒名：Trojan-Downloader.Win32.Small.xwr

http://60.191.239.***/D.gif

病毒名：Trojan.Win32.Agent.qnw

协议：DNS

端口：53

http://60.191.223.**/moon.asp

病毒名：Trojan-Spy.Win32.FtpSend.b

http://125.83.89.**/1.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxyp

http://125.83.89.**/2.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxxp

http://125.83.89.**/4.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sasv

http://125.83.89.**/5.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxwy

http://222.216.28.***/6.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sats

http://222.216.28.***/7.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxxa

http://222.216.28.***/8.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxxp

http://222.216.28.***/9.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.rxxz

http://222.216.28.***/10.gif

病毒名：Trojan-GameThief.Win32.OnLineGames.sasr

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的

位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings

\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是C:\\Windows\\System32

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2)删除病毒衍生的文件：

%Windir%\\AppPatch\\AclLayer.dll

%Windir%\\AppPatch\\DesktopWin.dll

%Windir%\\AppPatch\\AcSpecf.dll

%Windir%\\AppPatch\\AcXtrnel.bpl

%Windir%\\Downloaded Program Files\\ThunderAdvise.dll

%System32%\\aitlasys.exe

%System32%\\akjsfkaq.dll

%System32%\\apsggjba.dll

%System32%\\apzhctde.dll

%System32%\\axmsawin.exe

%System32%\\azcbaime.exe

%System32%\\azwlaime.exe

%System32%\\azzxaime.exe

%System32%\\ciwdaapi.sys

%System32%\\dazfajke.exe

%System32%\\dehxaklo.exe

%System32%\\detxbiua.dll

%System32%\\drivers\\eth8023.sys

%System32%\\dtzfajke.sys

%System32%\\erjxakin.sys

%System32%\\fd233ds4f3.dll

%System32%\\fdtxaiua.exe

%System32%\\fstlbsys.sys

%System32%\\fxcbbime.sys

%System32%\\fxwlbime.sys

%System32%\\fxzxbime.sys

%System32%\\fzmsbwin.sys

%System32%\\gajzalit.sys

%System32%\\gpsgajba.sys

%System32%\\gpzhatde.sys

%System32%\\gsdhadwd.sys

%System32%\\hdf453d.dll

%System32%\\ictxaiua.sys

%System32%\\ijsgajba.sys

%System32%\\ijzhatde.sys

%System32%\\isdsasrv.exe

%System32%\\ismhasrv.exe

%System32%\\jkhxaklo.dll

%System32%\\lpmxajkl.exe

%System32%\\lpsgajba.exe

%System32%\\lpzhatde.exe

%System32%\\mkjsakaq.exe

%System32%\\mndhfdwd.dll

%System32%\\mndshsrv.dll

%System32%\\mnmhgsrv.dll

%System32%\\mpwdeapi.dll

%System32%\gjxakin.sys

%System32%\hmxejkl.dll

%System32%\\onjzalit.exe

%System32%\\ozfyebyt.dll

%System32%\\pldhadwd.exe

%System32%\\pqzfajke.dll

%System32%\\pzwlaime.sys

%System32%\\qbhxaklo.sys

%System32%\\rijxbkin.dll

%System32%\\rnmxajkl.sys

%System32%\\sdjsakaq.sys

%System32%\\simyaapi.exe

%System32%\\siwdaapi.exe

%System32%\\smdsbsrv.sys

%System32%\\smmhbsrv.sys

%System32%\\snfybbyt.sys

%System32%\\spmybapi.sys

%System32%\\spwdbapi.sys

%System32%\\sqjsakaq.sys

%System32%\\stjxakin.exe

%System32%\\tjfyabyt.exe

%System32%\\vlhxaklo.sys

%System32%\\wymxajkl.sys

%System32%\\xzcsbhlp.sys

%System32%\\yxcschlp.dll

%System32%\\zptlcsys.dll

%System32%\\zxcsahlp.exe

%System32%\\zxmsewin.dll

%System32%\\zycbdime.dll

%System32%\\zywlcime.dll

%System32%\\zyzxjime.dll

(3)删除病毒添加的注册表项：

删除[HKEY_LOCAL_MACHINE\\SOFTWARE

\\Classes\\CLSID]下的

{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }子键

删除[HKEY_LOCAL_MACHINE\\SOFTWARE

\\Microsoft\\Windows\\CurrentVersion

\\ShellServiceObjectDelayLoad]下的DesktopWin值

词条	Trojan-Downloader.Win32.Small.dts
释义	Trojan-Downloader.Win32.Small.dts病毒属木马类，病毒运行后连接网络，衍生病毒文件DesktopWin.dll到%Windir% 。病毒简介病毒描述行为分析网络行为清除方案病毒简介病毒名称： Trojan-Downloader.Win32.Small.dts 病毒类型：木马文件 MD5： CF02F1C7C677C86CE4B76DA518ECFD1D 公开范围：完全公开危害等级： 3 文件长度： 19,968 字节感染系统： windows98以上版本开发工具： Microsoft Visual C++ 6.0 加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.22 命名对照：驱逐舰[Trojan.Downloader.12774] BitDefender [Trojan.Downloader.Small.BRQ] 病毒描述该病毒属木马类，病毒运行后连接网络，衍生病毒文件DesktopWin.dll到%Windir% \\AppPatch 下；新增注册表项，创建CLSID值，添加启动项，在ShellServiceObjectDelayLoad键下添加DesktopWin键值，当系统启动时利用Explorer.exe进程自动加载病毒组件，并查找此键下是否存在JavaView键值，若存在,便删除；以命令行方式调用rundll32.exe，由rundll32.exe创建%Windir% \\AppPatch\\AclLayer.dll文件；当该病毒执行完自身代码后，会结束自身进程，在 %System32%下衍生unxxx.bat，目的是为了删除该病毒文件和自身；连接网络，下载大量病毒文件并在本机运行。下载文件，在下载的文件%WINDOWS%\\SoftwareDistribution\\Download\\d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9中包括广告件，修改注册表。行为分析 1、病毒运行后连接网络，下载文件：连接网络： IP： 202.102.249.62 202.102.249.134 域名： soft.baiso.com.cn ad.baiso.com.cn down.baiso.com.cn 下载文件： %WINDOWS%\\SoftwareDistribution\\Download\\d15ab3599021d25ed2a3 4ec2834fe2b6fe0da3d9 %WINDOWS%\\system32\\0848\\baisoa\\adout.dat %WINDOWS%\\system32\\0848\\baisoa\\up.dat %WINDOWS%\\system32\\0848\\baisoa\\update\\adout.dat %WINDOWS%\\system32\\0848\\baisoa\\update\\up.dat %WINDOWS%\\system32\\0848\\baisoa\\update\\updatefile.lst %WINDOWS%\\system32\\0848\\baisoa\\updatefile.lst 文件d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9中的广告件： GENINST.EXE GENUINST.EXE INSTALL_FP6_WU.EXE 2、文件运行后会释放以下文件： %Windir%\\AppPatch\\AclLayer.dll 9,728 字节 %Windir%\\AppPatch\\DesktopWin.dll 14,336字节 3、新增注册表： [HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID \\{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 } \\InProcServer32] 注册表值: "@ " 类型： REG_SZ 字符串： "C:\\WINDOWS\\AppPatch\\DesktopWin.dll" [HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID \\{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 } \\InProcServer32] 注册表值: "ThreadingModel" 类型： REG_SZ 字符串： "Apartment" 描述：注册CLSID值 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion \\ShellServiceObjectDelayLoad] 注册表值: "DesktopWin" 类型： REG_SZ 字符串： "{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }" 描述: 当系统启动时利用Explorer.exe进程自动加载病毒组件 4、在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\ShellServiceObjectDelayLoad]键下查找是否存在JavaView，若存在此项，便删除。 5、以命令行方式调用rundll32.exe，由rundll32.exe创建 %Windir%\\AppPatch\\AclLayer.dll文件。 6、当该病毒执行完自身代码后，会结束自身进程，在%System32%下衍生unxxx.bat，目的是为了删除该病毒文件和自身。网络行为连接网络下载病毒文件，并在本机运行：协议：HTTP 端口：80 http://60.191.223./11.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxxp http://60.191.223./12.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxyp http://60.191.223./13.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.said http://60.191.223./15.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxxz http://60.191.223./16.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxxz http://60.191.223./17.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sasu http://60.191.223./18.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.satb http://60.191.223./19.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sasz http://60.191.223./20.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.satc http://60.191.223./21.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sasu http://60.191.223./22.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sbqw http://60.191.223./23.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sata http://60.191.239.*/14.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sata http://60.191.239./24.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.savj http://60.191.239./25.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.satq http://60.191.239./26.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sbpv vhttp://60.191.239./A.gif 病毒名：Trojan.Win32.Agent.qnz http://60.191.239./C.gif 病毒名：Trojan-Downloader.Win32.Small.xwr http://60.191.239./D.gif 病毒名：Trojan.Win32.Agent.qnw 协议：DNS 端口：53 http://60.191.223./moon.asp 病毒名：Trojan-Spy.Win32.FtpSend.b http://125.83.89./1.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxyp http://125.83.89./2.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxxp http://125.83.89./4.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sasv http://125.83.89./5.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxwy http://222.216.28.*/6.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sats http://222.216.28./7.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxxa http://222.216.28./8.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxxp http://222.216.28./9.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.rxxz http://222.216.28.**/10.gif 病毒名：Trojan-GameThief.Win32.OnLineGames.sasr 注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter%　逻辑驱动器根目录 %ProgramFiles%　系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings \\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是C:\\Windows\\System32 -------------------------------------------------------------------------------- 清除方案 1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2)删除病毒衍生的文件： %Windir%\\AppPatch\\AclLayer.dll %Windir%\\AppPatch\\DesktopWin.dll %Windir%\\AppPatch\\AcSpecf.dll %Windir%\\AppPatch\\AcXtrnel.bpl %Windir%\\Downloaded Program Files\\ThunderAdvise.dll %System32%\\aitlasys.exe %System32%\\akjsfkaq.dll %System32%\\apsggjba.dll %System32%\\apzhctde.dll %System32%\\axmsawin.exe %System32%\\azcbaime.exe %System32%\\azwlaime.exe %System32%\\azzxaime.exe %System32%\\ciwdaapi.sys %System32%\\dazfajke.exe %System32%\\dehxaklo.exe %System32%\\detxbiua.dll %System32%\\drivers\\eth8023.sys %System32%\\dtzfajke.sys %System32%\\erjxakin.sys %System32%\\fd233ds4f3.dll %System32%\\fdtxaiua.exe %System32%\\fstlbsys.sys %System32%\\fxcbbime.sys %System32%\\fxwlbime.sys %System32%\\fxzxbime.sys %System32%\\fzmsbwin.sys %System32%\\gajzalit.sys %System32%\\gpsgajba.sys %System32%\\gpzhatde.sys %System32%\\gsdhadwd.sys %System32%\\hdf453d.dll %System32%\\ictxaiua.sys %System32%\\ijsgajba.sys %System32%\\ijzhatde.sys %System32%\\isdsasrv.exe %System32%\\ismhasrv.exe %System32%\\jkhxaklo.dll %System32%\\lpmxajkl.exe %System32%\\lpsgajba.exe %System32%\\lpzhatde.exe %System32%\\mkjsakaq.exe %System32%\\mndhfdwd.dll %System32%\\mndshsrv.dll %System32%\\mnmhgsrv.dll %System32%\\mpwdeapi.dll %System32%\gjxakin.sys %System32%\hmxejkl.dll %System32%\\onjzalit.exe %System32%\\ozfyebyt.dll %System32%\\pldhadwd.exe %System32%\\pqzfajke.dll %System32%\\pzwlaime.sys %System32%\\qbhxaklo.sys %System32%\\rijxbkin.dll %System32%\\rnmxajkl.sys %System32%\\sdjsakaq.sys %System32%\\simyaapi.exe %System32%\\siwdaapi.exe %System32%\\smdsbsrv.sys %System32%\\smmhbsrv.sys %System32%\\snfybbyt.sys %System32%\\spmybapi.sys %System32%\\spwdbapi.sys %System32%\\sqjsakaq.sys %System32%\\stjxakin.exe %System32%\\tjfyabyt.exe %System32%\\vlhxaklo.sys %System32%\\wymxajkl.sys %System32%\\xzcsbhlp.sys %System32%\\yxcschlp.dll %System32%\\zptlcsys.dll %System32%\\zxcsahlp.exe %System32%\\zxmsewin.dll %System32%\\zycbdime.dll %System32%\\zywlcime.dll %System32%\\zyzxjime.dll (3)删除病毒添加的注册表项：删除[HKEY_LOCAL_MACHINE\\SOFTWARE \\Classes\\CLSID]下的 { DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }子键删除[HKEY_LOCAL_MACHINE\\SOFTWARE \\Microsoft\\Windows\\CurrentVersion \\ShellServiceObjectDelayLoad]下的DesktopWin值
随便看	耿宝林耿本清耿鄙耿边耿彪耿彬耿斌耿冰耿冰娃耿秉耿饼耿炳光耿炳文耿伯春耿伯钊耿昌言耿长军耿长生耿长锁耿长锁农业合作社耿车模式耿车镇耿晨晨耿城镇耿成君