Trojan-Downloader.Win32.Deskbar.a

Deskbar\\ Deskbar\\ Deskbar\\

病毒標籤

病毒名稱: Trojan-Downloader.Win32.Deskbar.a
中文名稱: 系統列工具
病毒類型: 木馬類
檔案 MD5: C78AF6ADA588A283BF73FC02FF03FF42
公開範圍: 完全公開
危害等級: 中等
檔案長度:94,208 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual Basic 5.0 / 6.0
命名對照: 驅逐艦[Trojan.Downloader.12194]

病毒描述

該病毒運行後,會釋放病毒檔案到%Windir%下,連線網路,下載病毒檔案到本地運行,添加註冊表開機啟動項,以達到開機後運行病毒的目的。利用BHO對象定製IE,更改主頁與默認搜尋引擎,監視IE行為等。

行為分析

1、釋放下列副本與檔案
% Program Files%\Deskbar\Cache
% Program Files%\Deskbar\deskbar.dll
% Program Files%\Deskbar\deskbar.inf
% Program Files%\Deskbar\deskbar.crc
% Program Files%\Deskbar\inst.bat
% Program Files%\Deskbar\basis.xml
% Program Files%\Deskbar\about.html
% Windir%\teller2.chk
% Windir%\keyboard1.dat
C:\ kybrdff_13.exe Trojan-Downloader.Win32.VB.alg
C:\dfndrff_13.exe Trojan-Clicker.Win32.VB.ly
C:\ deskbar.exe 
2、新建註冊表鍵值
HKLM\Software\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects
DeskbarBHODeskbarDeskbar%program files%\deskbar
\deskbar.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\defender
鍵值: 字元串: "c:\\dfndrff_13.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\keyboard
鍵值: 字元串: "c:\\kybrdff_13.exe"
HKEY_CURRENT_USER\Software\DBTB00001\Deskbar
\firstURL
鍵值: 字元串: http://deskbar.*****dtostart.com
/installed.asp
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer
\Main\Default_Search_URL
鍵值: 字元串: "http://sear****r.findthewebsiteyouneed.com"
3、連線下列網址:
http://content.****arrevenue.com/
http://deskbar.****dtostart.com
http://www.****thewebsiteyouneed.com
http://sear*****.findthewebsiteyouneed.com http://www.****texplorer.com/
下載病毒檔案
默認升級網站
設定本機IE主頁
設定本機IE默認搜尋引擎
設定本機Internet默認搜尋引擎
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
dfndrff_13.exe
kybrdff_13.exe
explorer.exe
(2) 刪除病毒檔案
% Program Files%\Deskbar\*.*
C:\ kybrdff_13.exe
C:\dfndrff_13.exe
C:\ deskbar.exe
% Windir%\teller2.chk
% Windir%\keyboard1.dat
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKLM\Software\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects
DeskbarBHODeskbarDeskbar%program files%\deskbar
\deskbar.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\defender
鍵值: 字元串: "c:\\dfndrff_13.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\keyboard
鍵值: 字元串: "c:\\kybrdff_13.exe"
HKEY_CURRENT_USER\Software\DBTB00001\Deskba
r\firstURL
鍵值: 字元串: http://deskbar.*****dtostart.com
/installed.asp
HKEY_CURRENT_USER\Software\Microsoft\InternetExplore
r\Main\Default_Search_URL
鍵值: 字元串: "http://sear****r.findthewebsiteyouneed.com"

相關搜尋

熱門詞條

聯絡我們