“Trojan.Downloader.Win32.Small.zjt”的意思、由来-中文百科全书

总览

病毒名称： Trojan-Downloader.Win32.Small.zjt

病毒类型：蠕虫

文件 MD5： F8820809EBCAB9AC87CA039A0D974F59

公开范围：完全公开

危害等级： 4

文件长度： 225,280 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 7.0

传播方式：利用电子邮件传播

该病毒为广告件类病毒，病毒运行之后调用FindFirstUrlCacheEntryA，获取IE缓存地址信息，删除internet临时文件夹的文件，调用API函数GetKeyboardLayoutList获得系统适用的所有键盘布局的一个列表，调用CreateMutex创建一个互斥体，MutexName= "{A56DECD8-1102-49e9-BFD5-17FBE35197F2}"防止病毒多次运行，复制自身并衍生病毒文件lphcrm3j0e37v.exe、phcrm3j0e37v.bmp、pphcrm3j0e37v.exe（随机文件名）文件到%System32%目录下，并添加到注册表桌面项某些键值替换为病毒释放的bmp文件，将现有的桌面背景替换为病毒释放的bmp文件，设置属性为不可更改，使用户无法替换桌面背景，将病毒lphcrm3j0e37v.exe文件添加到注册表启动项，达到开机自启动目的，获取临时%temp%目录文件夹，释放.ttE.tmp.vbs脚本文件，调用ShellExecuteW将其运行，等待1000ms后再将其删除，获取%System32%目录在此目录下衍生blphcrm3j0e37v.scr屏幕保护程序替换系统现用的屏幕保护程序，调用API连接网络下载恶意程序强制安装antivirus XP 2008软件，病毒运行完毕之后创建BAT批处理文件删除自身。

传播方式

该病毒通过电子邮件传播。

邮件内容为：

New photos and video of Mars. To look only here!

http://dieffeg****.it/fores/l4.php

New photos and video of Mars. To look only here!

http://desi****.fr/fores/l4.php

行为分析

本地行为

1、文件运行后会释放以下文件：

%system32%\\phcrm3j0e37v.bmp （随机文件名）

%system32%\\lphcrm3j0e37v.exe （随机文件名）

%system32%\\blphcrm3j0e37v.scr （随机文件名）

%system32%\\pphcrm3j0e37v.exe （随机文件名）

2、修改注册表项，改变桌面显示设置：

HKEY_CURRENT_USER\\Control Panel\\Colors\\Background

新: 字符串: "0 0 255"

旧: 字符串: "0 78 152"

描述：设置背景图片的尺寸

HKEY_CURRENT_USER\\Control Panel\\Desktop\\OriginalWallpaper

新: 字符串: "C:\\WINDOWS\\system32\\phcrm3j0e37v.bmp"

旧: 字符串: ""

HKEY_CURRENT_USER\\Control Panel\\Desktop\\SCRNSAVE.EXE

新: 字符串: "C:\\WINDOWS\\system32\\blphcrm3j0e37v.scr"

旧: 字符串: "C:\\WINDOWS\\System32\\logon.scr"

描述：替换当前桌面屏幕保护程序为病毒指定的屏幕保护

HKEY_CURRENT_USER\\Control Panel\\Desktop\\Wallpaper

新: 字符串: "C:\\WINDOWS\\system32\\phcrm3j0e37v.bmp"

旧: 字符串: "C:\\WINDOWS\\web\\wallpaper\\Bliss.bmp"

描述：替换当前桌面背景为病毒指定的背景

HKEY_CURRENT_USER\\Control Panel\\Desktop\\WallpaperStyle

新: 字符串: "0"

旧: 字符串: "2"

3、添加注册表病毒启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Software Notifier\\InstallationID

值: 字符串: "b154ae95-06a3-470b-a06a-ce44408a3f0b"

描述：注册病毒安装ID号

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\lphcrm3j0e37v

值: 字符串: "C:\\WINDOWS\\system32\\lphcrm3j0e37v.exe"

描述：添加病毒开机启动项

4、调用FindFirstUrlCacheEntryA，获取IE缓存地址信息，删除internet临时文件夹的文件，调用API函数GetKeyboardLayoutList获得系统适用的所有键盘布局的一个列表，调用CreateMutex创建一个互斥体，MutexName = "{A56DECD8-1102-49e9-BFD5-17FBE35197F2}"防止病毒多次运行。

5、获取临时%temp%目录文件夹，释放.ttE.tmp.vbs脚本文件，调用ShellExecuteW将其运行，等待1000ms后再将其删除，调用API连接网络下载恶意程序强制安装antivirus XP 2008软件。

XP Antivirus 2008是一种带欺骗性质的伪装成安全软件的恶意软件。以系统存在漏洞为由诱惑用户安装，然后开机就看见桌面背景被换成一张蓝色的病毒警告页面，XP Antivirus 2008正在扫描，且扫描出一堆“病毒”，且真有蟑螂般小虫在桌面跑来跑去，啃噬桌面图标，引诱用户去注册软件解决这个“大麻烦”。

被强制安装antivirus XP 2008软件后的用户桌面被强制更改，安装完毕后自动扫描电脑假像显示电脑有病毒然后提示用户是否删除。当点击是后弹出窗口要求输入用户名及密码骗取用户付费后使用。

网络行为

连接以下网站下载恶意软件，安装antivirus XP 2008软件

http://www.r***.org

http://avx****.com

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是C:\\Windows\\System

windowsXP中默认的安装路径是C:\\Windows\\System32

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用ATOOL进程管理结束病毒进程。

(2) 恢复注册表项：

HKEY_CURRENT_USER\\Control Panel

\\Colors\\Background

新: 字符串: "0 0 255"

旧: 字符串: "0 78 152"

描述：设置背景图片的尺寸

HKEY_CURRENT_USER\\Control Panel\\Desktop

\\OriginalWallpaper

新: 字符串: "C:\\WINDOWS\\system32

\\phcrm3j0e37v.bmp"

旧: 字符串: ""

HKEY_CURRENT_USER\\Control Panel

\\Desktop\\SCRNSAVE.EXE

新: 字符串: "C:\\WINDOWS\\system32

\\blphcrm3j0e37v.scr"

旧: 字符串: "C:\\WINDOWS\\System32\\logon.scr"

描述：替换当前桌面屏幕保护程序为病毒指定的屏幕保护

HKEY_CURRENT_USER\\Control Panel

\\Desktop\\Wallpaper

新: 字符串: "C:\\WINDOWS\\system32

\\phcrm3j0e37v.bmp"

旧: 字符串: "C:\\WINDOWS\\web\\wallpaper\\Bliss.bmp"

描述：替换当前桌面背景为病毒指定的背景

HKEY_CURRENT_USER\\Control Panel\\Desktop

\\WallpaperStyle

新: 字符串: "0"

旧: 字符串: "2

(3)删除病毒添加的注册表启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Software Notifier\\InstallationID

值: 字符串: "b154ae95-06a3-470b-a06a-ce44408a3f0b"

描述：注册病毒安装ID号

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run\\lphcrm3j0e37v

值: 字符串: "C:\\WINDOWS\\system32\\lphcrm3j0e37v.exe"

描述：添加病毒开机启动项

(4)删除病毒毒衍生的文件：

%system32%\\phcrm3j0e37v.bmp

%system32%\\lphcrm3j0e37v.exe

%system32%\\blphcrm3j0e37v.scr

(5)删除 XP Antivirus 2008安装的所有文件：

使用ATOOL管理工具找到pphcrm3j0e37v.exe进程将其结束

（注：该文件用来保护XP Antivirus 2008防止被删除）

删除%Program Files%\\目录下的rhcvm3j0e37v文件夹

词条	Trojan.Downloader.Win32.Small.zjt
释义	Trojan-Downloader.Win32.Small.hsh属木马类。病毒运行后衍生文件到系统临时目录下，修改注册表，创建服务，以达到随机运行的目的，病毒在计算机重新启动后将修改%Windir%\\explorer.exe文件，并加载，使任务管理器中出现两个explorer.exe进程，连接网络下载病毒文件. 总览病毒描述(主要危害传播方式) 行为分析(本地行为网络行为) 清除方案总览病毒名称： Trojan-Downloader.Win32.Small.zjt 病毒类型：蠕虫文件 MD5： F8820809EBCAB9AC87CA039A0D974F59 公开范围：完全公开危害等级： 4 文件长度： 225,280 字节感染系统： Windows98以上版本开发工具： Microsoft Visual C++ 7.0 传播方式：利用电子邮件传播病毒描述主要危害该病毒为广告件类病毒，病毒运行之后调用FindFirstUrlCacheEntryA，获取IE缓存地址信息，删除internet临时文件夹的文件，调用API函数GetKeyboardLayoutList获得系统适用的所有键盘布局的一个列表，调用CreateMutex创建一个互斥体，MutexName= "{A56DECD8-1102-49e9-BFD5-17FBE35197F2}"防止病毒多次运行，复制自身并衍生病毒文件lphcrm3j0e37v.exe、phcrm3j0e37v.bmp、pphcrm3j0e37v.exe（随机文件名）文件到%System32%目录下，并添加到注册表桌面项某些键值替换为病毒释放的bmp文件，将现有的桌面背景替换为病毒释放的bmp文件，设置属性为不可更改，使用户无法替换桌面背景，将病毒lphcrm3j0e37v.exe文件添加到注册表启动项，达到开机自启动目的，获取临时%temp%目录文件夹，释放.ttE.tmp.vbs脚本文件，调用ShellExecuteW将其运行，等待1000ms后再将其删除，获取%System32%目录在此目录下衍生blphcrm3j0e37v.scr屏幕保护程序替换系统现用的屏幕保护程序，调用API连接网络下载恶意程序强制安装antivirus XP 2008软件，病毒运行完毕之后创建BAT批处理文件删除自身。传播方式该病毒通过电子邮件传播。邮件内容为： New photos and video of Mars. To look only here! http://dieffeg**.it/fores/l4.php New photos and video of Mars. To look only here! http://desi.fr/fores/l4.php 行为分析本地行为 1、文件运行后会释放以下文件： %system32%\\phcrm3j0e37v.bmp （随机文件名） %system32%\\lphcrm3j0e37v.exe （随机文件名） %system32%\\blphcrm3j0e37v.scr （随机文件名） %system32%\\pphcrm3j0e37v.exe （随机文件名） 2、修改注册表项，改变桌面显示设置： HKEY_CURRENT_USER\\Control Panel\\Colors\\Background 新: 字符串: "0 0 255" 旧: 字符串: "0 78 152" 描述：设置背景图片的尺寸 HKEY_CURRENT_USER\\Control Panel\\Desktop\\OriginalWallpaper 新: 字符串: "C:\\WINDOWS\\system32\\phcrm3j0e37v.bmp" 旧: 字符串: "" HKEY_CURRENT_USER\\Control Panel\\Desktop\\SCRNSAVE.EXE 新: 字符串: "C:\\WINDOWS\\system32\\blphcrm3j0e37v.scr" 旧: 字符串: "C:\\WINDOWS\\System32\\logon.scr" 描述：替换当前桌面屏幕保护程序为病毒指定的屏幕保护 HKEY_CURRENT_USER\\Control Panel\\Desktop\\Wallpaper 新: 字符串: "C:\\WINDOWS\\system32\\phcrm3j0e37v.bmp" 旧: 字符串: "C:\\WINDOWS\\web\\wallpaper\\Bliss.bmp" 描述：替换当前桌面背景为病毒指定的背景 HKEY_CURRENT_USER\\Control Panel\\Desktop\\WallpaperStyle 新: 字符串: "0" 旧: 字符串: "2" 3、添加注册表病毒启动项： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Software Notifier\\InstallationID 值: 字符串: "b154ae95-06a3-470b-a06a-ce44408a3f0b" 描述：注册病毒安装ID号 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows \\CurrentVersion\\Run\\lphcrm3j0e37v 值: 字符串: "C:\\WINDOWS\\system32\\lphcrm3j0e37v.exe" 描述：添加病毒开机启动项 4、调用FindFirstUrlCacheEntryA，获取IE缓存地址信息，删除internet临时文件夹的文件，调用API函数GetKeyboardLayoutList获得系统适用的所有键盘布局的一个列表，调用CreateMutex创建一个互斥体，MutexName = "{A56DECD8-1102-49e9-BFD5-17FBE35197F2}"防止病毒多次运行。 5、获取临时%temp%目录文件夹，释放.ttE.tmp.vbs脚本文件，调用ShellExecuteW将其运行，等待1000ms后再将其删除，调用API连接网络下载恶意程序强制安装antivirus XP 2008软件。 XP Antivirus 2008是一种带欺骗性质的伪装成安全软件的恶意软件。以系统存在漏洞为由诱惑用户安装，然后开机就看见桌面背景被换成一张蓝色的病毒警告页面，XP Antivirus 2008正在扫描，且扫描出一堆“病毒”，且真有蟑螂般小虫在桌面跑来跑去，啃噬桌面图标，引诱用户去注册软件解决这个“大麻烦”。被强制安装antivirus XP 2008软件后的用户桌面被强制更改，安装完毕后自动扫描电脑假像显示电脑有病毒然后提示用户是否删除。当点击是后弹出窗口要求输入用户名及密码骗取用户付费后使用。网络行为连接以下网站下载恶意软件，安装antivirus XP 2008软件 http://www.r.org http://avx***.com 注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter%　逻辑驱动器根目录 %ProgramFiles%　系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是C:\\Windows\\System windowsXP中默认的安装路径是C:\\Windows\\System32 清除方案 1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1)使用ATOOL进程管理结束病毒进程。 (2) 恢复注册表项： HKEY_CURRENT_USER\\Control Panel \\Colors\\Background 新: 字符串: "0 0 255" 旧: 字符串: "0 78 152" 描述：设置背景图片的尺寸 HKEY_CURRENT_USER\\Control Panel\\Desktop \\OriginalWallpaper 新: 字符串: "C:\\WINDOWS\\system32 \\phcrm3j0e37v.bmp" 旧: 字符串: "" HKEY_CURRENT_USER\\Control Panel \\Desktop\\SCRNSAVE.EXE 新: 字符串: "C:\\WINDOWS\\system32 \\blphcrm3j0e37v.scr" 旧: 字符串: "C:\\WINDOWS\\System32\\logon.scr" 描述：替换当前桌面屏幕保护程序为病毒指定的屏幕保护 HKEY_CURRENT_USER\\Control Panel \\Desktop\\Wallpaper 新: 字符串: "C:\\WINDOWS\\system32 \\phcrm3j0e37v.bmp" 旧: 字符串: "C:\\WINDOWS\\web\\wallpaper\\Bliss.bmp" 描述：替换当前桌面背景为病毒指定的背景 HKEY_CURRENT_USER\\Control Panel\\Desktop \\WallpaperStyle 新: 字符串: "0" 旧: 字符串: "2 (3)删除病毒添加的注册表启动项： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Software Notifier\\InstallationID 值: 字符串: "b154ae95-06a3-470b-a06a-ce44408a3f0b" 描述：注册病毒安装ID号 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft \\Windows\\CurrentVersion\\Run\\lphcrm3j0e37v 值: 字符串: "C:\\WINDOWS\\system32\\lphcrm3j0e37v.exe" 描述：添加病毒开机启动项 (4)删除病毒毒衍生的文件： %system32%\\phcrm3j0e37v.bmp %system32%\\lphcrm3j0e37v.exe %system32%\\blphcrm3j0e37v.scr (5)删除 XP Antivirus 2008安装的所有文件：使用ATOOL管理工具找到pphcrm3j0e37v.exe进程将其结束（注：该文件用来保护XP Antivirus 2008防止被删除）删除%Program Files%\\目录下的rhcvm3j0e37v文件夹
随便看	犭昔犭央犭茶犭央犭茶湖避塘犭央犭茶湖村犰仑山犰狳骑士2 犰狳属犰狳鞋犰狳运输车犴户犴噬犴讼犴庭犴姓犴狱犴圄犴狴犷横犷平县犷骑犷俗狃习狃于成见狃于故辙狎媟