病毒名稱
病毒名稱: Trojan-Dropper.Win32.Small.apl
病毒類型: 木馬類
檔案 MD5: 1D4C07370BABEE309401A73EBAA64F58
公開範圍: 完全公開
危害等級: 3
檔案長度: 70,207 位元組
感染系統: Win98以上系統
開發工具: Microsoft Visual C++ 6.0
加殼工具: 無
病毒描述
該病毒是檔案結合工具生成的目標檔案,為木馬的一種,病毒運行後釋放病毒檔案
到系統目錄下,命名為temp1.exe,temp2.exe;並執行分離出來的這兩個病毒程式。在
用戶毫無察覺的情況下;修改註冊表鍵值;在後台以temp1.exe開啟連線埠,嘗試連線遠
程控制端主機。一旦連線成功,控制端會對用戶電腦進行檔案上傳下載,鍵盤信息記錄,
攝像頭抓圖,螢幕監控等遠程控制。
行為分析
1 、病毒運行後,衍生病毒檔案:
%system%\temp1.exe (檔案 MD5: a5f8018df4209ae978b0907ce1664ff2 )
%system%\temp2.exe (檔案 MD5: 6350faf65f311c04cb4808ea3cad7ce7 )
2 、嘗試修改註冊表:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
新: 字元串: "C:\WINDOWS\svchost.exe"
舊: 字元串: ""
3 、分別創建進程%system%\temp2.exe 和%system%\temp1.exe,以temp1.exe主動連線網路,
等待病毒控制端連線:
協定:TCP
地址:211.69.242.**
連線埠:8888
對目標主機的操作:
檔案操作
鍵盤記錄
螢幕監視
進程,服務,註冊表操作
……
4 、此木馬是通過檔案結合工具將temp1.exe與temp2.exe兩個病毒程式進行捆綁,
在程式運行後,會分離出這兩個病毒程式,並執行分離出來的兩個病毒程式。
5 、該病毒通過惡意網站、其它病毒或木馬下載傳播,釋放出的病毒可收集用戶
本地信息,對用戶電腦進行遠程控制。
註: %System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝
路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “進程管理”關閉病毒進程:
temp1.exe
temp2.exe
(2) 刪除病毒檔案:
%system%\temp1.exe
%system%\temp2.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_CURRENT_USER\Software\Microsoft
\Windows NT\CurrentVersion\Windows\load
新: 字元串: "C:\WINDOWS\svchost.exe"
舊: 字元串: ""