trojan-downloader.win32.tiny.n
|
病毒名称: trojan-downloader.win32.tiny.n
病毒类型: 木马
文件 md5: a300cc2f561cd61cd2f2fcece63d49fd
公开范围: 完全公开
危害等级: 中
文件长度:2,137 字节
感染系统: windows98以上版本
开发工具: borland delphi 6.0 - 7.0
加壳类型: fsg 2.0
命名对照:symentec[downloader.trojan]
mcafee[无]
病毒描述:
该病毒属于木马下载类,病毒运行后,创建相关文件以备下载程序使用,尝试连接网络,开放端口,下载病毒相关文件到本地运行,该病毒对用户有一定危害。
行为分析:
1、病毒运行后,隐藏病毒进程,创建相关文件以备下载程序使用:
%system32%catroot2\tmp.edb
%windir%\lastgood\inf\oem5.inf
%windir%\lastgood\inf\oem5.pnf
2、病毒运行后访问网络:
协议:tcp
ip:61.139.126.14
端口:80
随机开放本地1024以上端口,如:1104,1166。
地址:四川省绵阳市电信机房
3、尝试连接网络,下在病毒相关文件到本地运行:
http://***.138soft.com/bintext.exe
4、新建注册表项:
hkey_local_machine\system\lastknowngoodrecovery\lastgood\inf/
键值:字串:”oem5.inf”=”dword: 1 (0x1)”
hkey_local_machine\system\lastknowngoodrecovery\lastgood\inf/
键值:字串:“oem5.pnf”=”dword: 1 (0x1)”
注:% system%是一个可变路径。病毒通过查询操作系统来决定当前system文件夹的位置。windows2000/nt中默认的安装路径是c:\winnt\system32,windows95/98/me中默认的安装路径是c:\windows\system,windowsxp中默认的安装路径是c:\windows\system32。
--------------------------------------------------------------------------------
清除方案 :
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%system32%catroot2\tmp.edb
%windir%\lastgood\inf\oem5.inf
%windir%\lastgood\inf\oem5.pnf
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
hkey_local_machine\system\lastknowngoodrecovery
\lastgood\inf/
键值:字串:”oem5.inf”=”dword: 1 (0x1)”
hkey_local_machine\system\lastknowngoodrecovery
\lastgood\inf/
键值:字串:“oem5.pnf”=”dword: 1 (0x1)”
|
|