Trojan-Downloader.Win32.VB.afs

Trojan-Downloader.Win32.VB.afs

Trojan-Downloader.Win32.VB.afs,木馬類病毒,感染 Win9X以上版本系統,危害等級中等。感染後,病毒新建資料夾,並訪問2**.100.33.13主機,下載病毒檔案,建立計畫任務,執行病毒程式。可安裝防毒軟體清除,也可直接刪除病毒檔案及系統計畫任務。

基本信息

病毒名稱: Trojan-Downloader.Win32.VB.afs
病毒類型: 木馬類
檔案 MD5: f6906b88c0cfa219cb7217711c958525
公開範圍: 完全公開
危害等級: 中等
檔案長度: 4,645 位元組
感染系統: Win9X以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
命名對照: Symentec[無]
Mcafee[無]

病毒描述

該病毒運行後,建立資料夾%\System32%\microsoft和%\Program Files%\pcast。並在pcast資料夾下釋放兩個檔案分別為download.ini和updat.exe.而後病毒會訪問2**.100.33.13,下載病毒檔案到%Documents and Settings\Administrator\Local Settings\Temp%,並會打開計畫任務,添加一個名為DM_Install_Program.jobdmremotesetup的任務。執行路徑為%\documents and settings\當前用戶名\localsettings\temp\\101577.exe,該病毒對用戶有一定危害。

行為分析

1、釋放資料夾及相關檔案:
%\System32\%microsoft\Protect\S-1-5-18\User
\76d00f4a-dc1c-481e-86be-5c4366c95531
%\System32\%microsoft\Protect\S-1-5-18\User\Preferred
%\System32\%microsoft\Crypto
%\System32\%microsoft\Protect
%\Program Files\%pcast\PodcastbarMini\ownload.ini
%\Program Files\%pcast\PodcastbarMini\updat.exe
%Documents and Settings\Administrator\Local Settings\Temp%\1.exe
%Documents and Settings\Administrator\Local Settings\Temp%\101577.exe
2、新建註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\sharehelper\Install\OEMURL
值: 字元串: "http://ulink4.******.com/setup/iebar.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
值: 字元串: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101577.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List\%\Program Files
\pcast\PodcastbarMini\%update.exe"
值: 字元串: "C:\Program Files\pcast\PodcastbarMini\update.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字元串: "%\DOCUME~1\當前用戶名\LOCALS~1\Temp\101577.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字元串: "%\Program Files\pcast\PodcastbarMini\update.exe
3、病毒運行後連線下列地址:
6*.183.15.233
2**.100.33.13
4、病毒運行後添加一項計畫任務:
描述發行商映象路徑
DM_Install_Program.jobdmremotesetup1000 Oaks%
\documents and settings\當前用戶名\local settings\temp\101577.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案:
%\System32\%microsoft\Protect\S-1-5-18\User
\76d00f4a-dc1c-481e-86be-5c4366c95531
%\System32\%microsoft\Protect\S-1-5-18\User\Preferred
%\System32\%microsoft\Crypto
%\System32\%microsoft\Protect
%\Program Files\%pcast\PodcastbarMini\ownload.ini
%\Program Files\%pcast\PodcastbarMini\updat.exe
%Documents and Settings\Administrator\Local Settings\Temp%\1.exe
%Documents and Settings\Administrator\Local Settings\Temp%\101577.exe
(3) 刪除病毒添加的計畫任務。
(4) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\sharehelper\Install\OEMURL
值: 字元串: "/setup/iebar.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
值: 字元串: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101577.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
\List\%\Program Files\pcast\PodcastbarMini\%update.exe"
值: 字元串: "C:\Program Files\pcast\PodcastbarMini\update.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字元串: "%\DOCUME~1\當前用戶名\LOCALS~1\Temp\101577.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字元串: "%\Program Files\pcast\PodcastbarMini\update.exe

相關搜尋

熱門詞條

聯絡我們