Trojan-Dropper.Win32.Small.cub分析
一、 病毒标签:病毒名称: Trojan-Dropper.Win32.Small.cub
病毒类型: 木马类
文件 MD5:285B3DF663A4EA86349B0AB54B297A6F
公开范围: 完全公开
危害等级: 4
文件长度: 1,227,891 字节
感染系统: Windows98以上版本
开发工具: 易语言
加壳类型: 无
二、 病毒描述:
该病毒属于刷流量类木马,病毒运行后,判断当前程序的文件名和路径是否为%System32%\XP-C300C3AC.EXE,如果不是该路径和文件名,
将调用资源管理器打开当前目录下和自己同名的文件夹;若文件夹不存在将弹出无法找到文件夹的错误提示,复制自身到%System32%目录下,
并衍生病毒配置文件以及易语言运行所需要的库文件;修改注册表添加启动项,使病毒文件随系统启动而运行;连接网络访问指定站点,
为被访问的网站刷流量;被感染计算机接入移动磁盘后,病毒进程将遍历移动磁盘根目录下的文件夹,衍生自身到移动磁盘根目录下,
更名为检测到的文件夹名称,修改原文件夹属性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒,
以达到移动磁盘传染病毒的目的;病毒运行完毕后删除自身。
被刷网站(http://hi.baidu.com/silet****)约以每秒10次访问量的速度刷新,其中一篇帖子的访问量高达500,000以上,
对网络的正常使用有比较严重的影响。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件:
%System32%\com.run 266,240 字节
%System32%\dp1.fne 114,688 字节
%System32%\eAPI.fne 323,584 字节
%System32%\internet.fne 184,320 字节
%System32%\krnln.fnr 1,097,728 字节
%System32%\og.dll 692 字节
%System32%\og.edt 512 字节
%System32%\RegEx.fne 167,936 字节
%System32%\shell.fne 40,960 字节
%System32%\spec.fne 73,728 字节
%System32%\ul.dll 2,404 字节
%System32%\XP-C300C3AC.EXE1,227,891 字节
2、新增注册表:
注册表值: "XP-C300C3AC"
类型: REG_SZ
值: "C:\WINDOWS\system32\XP-C300C3AC.EXE"
描述: 启动项,使指定的路径下的文件随系统的启动而运行。
网络行为:
1、访问指定网站,为网站刷流量:
访问的网站地址:
http://hi.baidu.com/silet**** 刷流量站点
http://www.microsoft.com/en/us/def****.aspx 微软官方主页
http://www.baidu.com/?pn=M08**** 百度主页
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
Windows2000/NT中默认的安装路径是C:\Winnt\System32,
windows95/98/me中默认的安装路径是C:\Windows\System,
windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天防线工具中“进程管理”关闭病毒进程:
XP-C300C3AC.EXE
(2) 删除病毒文件:
%System32%\com.run
%System32%\dp1.fne
%System32%\eAPI.fne
%System32%\internet.fne
%System32%\krnln.fnr
%System32%\og.dll
%System32%\og.edt
%System32%\RegEx.fne
%System32%\shell.fne
%System32%\spec.fne
%System32%\ul.dll
%System32%\XP-C300C3AC.EXE
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:
注册表值: "XP-C300C3AC"
类型: REG_SZ
值: "C:\WINDOWS\system32\XP-C300C3AC.EXE"
页:
[1]