“Trojan/Win32.Flystud.ld[Dropper]”的意思、由来-中文百科全书

病毒标签

病毒名称： Trojan/Win32.Flystud.ld[Dropper]

病毒类型：木马

文件 MD5： 3AD89FF7AAC3CF9413A86FE65DABE773

公开范围：完全公开

危害等级： 4

文件长度： 32,854 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0 [Overlay]

病毒描述

由于病毒本身BUG，该病毒运行后会提示无效路径。该病毒在当前用户“程序\\启动”下创建快捷方式并指向病毒本体，达到随系统启动的目的。连接网络访问www.baidu.com，并试图访问www.dywt.com.cn。

行为分析-本地行为

病毒衍生文件

%system32%\\8A9EE5\\cnvpe.fne

%system32%\\8A9EE5\\dp1.fne

%system32%\\8A9EE5\\eAPI.fne

%system32%\\8A9EE5\\HtmlView.fne

%system32%\\8A9EE5\\internet.fne

%system32%\\8A9EE5\\krnln.fnr

%system32%\\8A9EE5\\RegEx.fnr

%system32%\\8A9EE5\\shell.fne

%system32%\\8A9EE5\\spec.fne

%system32%\\D71B90\\4F24A4.EXE

%Documents and Settings%\\「开始」菜单\\程序\\启动\\4F24A4.lnk

行为分析-网络行为

更改套接字进行网站访问

协议：http

端口：80

地址：www.baidu.com

访问信息：

GET / HTTP/1.1

User-Agent: test

Host: www.baidu.com

Cache-Control: no-cache

HTTP/1.1 200 OK

Date: Tue, 12 May 2009 05:47:27 GMT

Server: BWS/1.0

Content-Length: 3585

Content-Type: text/html

Cache-Control: private

Expires: Tue, 12 May 2009 05:47:27 GMT

Set-Cookie: BAIDUID=81FE350C1CFF02505E49DC9C21B6D137:FG=1; expires=Tue, 12-May-39 05:47:27 GMT; path=/; domain=.baidu.com

P3P: CP=" OTI DSP COR IVA OUR IND COM "

……

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

%Temp% = C:\\Documents and Settings\\AAAAA\\Local Settings\\Temp 当前用户TEMP缓存变量

%Windir%\\ WINDODWS所在目录

%DriveLetter%\\ 逻辑驱动器根目录

%ProgramFiles%\\ 系统程序默认安装目录

%HomeDrive% = C:\\ 当前启动的系统的所在分区

%Documents and Settings%\\ 当前用户文档根目录

清除方案

1、使用安天防线可彻底清除此病毒。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

（1）结束进程

4F24A4.EXE

（2）删除文件