病毒簡介
病毒名稱: Trojan-Downloader.win32.small.ieo
病毒類型: 木馬
檔案 MD5: DDB8D7A08DFE8F6221ECDE35A1CB0481
公開範圍: 完全公開
危害等級: 3
檔案長度: 22,850 位元組
感染系統: windows98 以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: NsPacK V3.7
命名對照: BitDefender [ BehavesLike:Trojan.Downloader ]
NORMAN [ Virus W32/Downloader ]
病毒描述
該病毒屬木馬類,病毒運行後複製自身到系統根目錄下,重命名為: Update.exe ,並刪除
自身;修改註冊表,添加啟動項,以達到隨機啟動的目的。連線網路,下載病毒檔案到本機運行。
行為分析
1、病毒運行後衍生病毒檔案:
系統根目錄 /Update.exe
2 、修改註冊表、添加啟動項,以達到隨機啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "RealUpdate"="c:\Update.exe"
3 、連線網路,下載病毒檔案到本機運行 ( 均已失效 ) :
http://q*.e*2*.cn/down/en.exe />
http://www.s*9*1.com/rrr/1.exe
http://www.s*9*1.com/rrr/2.exe
http://www.s*9*1.com/rrr/3.exe
http://www.s*9*1.com/rrr/4.exe
http://www.s*9*1.com/rrr/5.exe
4 、代碼中包含“我不喜歡上學”的字樣:
i hate school!
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “進程管理”關閉病毒進程。
(2) 刪除病毒檔案:
系統根目錄 /Update.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "RealUpdate"="c:\Update.exe"
