病毒標籤
病毒名稱: Trojan-Spy.Win32.
病毒類型: 木馬
中文名稱: 金盾
檔案 MD5: D0BA8262D140F5689BA34E0D175A3C1A
公開範圍: 完全公開
危害等級: 5
檔案長度: 48,184 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
病毒描述
檢測當前進程列表,結束所有iexplorer.exe進程,移動%Programe Files%\InternetExplorer\iexplore.exe檔案到%Temp%目錄下,更名為xa****.tmp(檔案病毒名後四位為隨機數字或大寫字母所組成),修改%Programe Files%\Internet Explorer\iexplore.exe檔案導入函式表結構,添加msvcrl.dll檔案中唯一函式Proc到導入函式表中,實現當運行iexplore.exe時msvcrl.dll檔案的自動載入,衍生a.bat檔案到程式執行的當前目錄下刪除病毒檔案和自身。
msvcrl.dll檔案偽裝系統動態連線庫檔案,具有微軟版本信息;被載入到IE進程中後將連線網路,獲取下載列表,下載病毒檔案等。盜取用戶“ftp”、“outlook”、“Firefox”、“ICQ”、“MSN”、“AOL”和“YAHOO”等會員帳戶的登入帳號與登入密碼等信息,監聽“E-Gold”的加密連線,獲取用戶登入信息;將竊取到的這些機密信息資料傳送到指定地址。
行為分析
本地行為:
1、檔案運行後會釋放以下檔案:
%System32%msvcrl.dll 42,552 位元組
%Programe Files%\Internet Explorer
\iexplore.exe 正常檔案尾部添加512個位元組
%Temp%\xa****.tmp 依系統IE瀏覽器版本而變化
%Temp%pda****.tmp 依病毒原版本而定
網路行為:
以下地址均已經失效:
1、連線站點:
dns-ns-hyip***.com/snatch/module1_urlf_get.php
dns-ns-hyip***.com/snatch/module8_get.php?id=548917915
dns-ns-hyip***.com/snatch/module9_get.php
2、下載列表:
dns-ns-hyip***.com/snatch/files/downloader.txt
dns-ns-hyip***.com/snatch/files/updater.txt
3、下載檔案:
dns-ns-hyip***.com/snatch/files/d.exe
dns-ns-hyip***.com/snatch/files/u.exe
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1 、使用安天防線可徹底清除此病毒(推薦),安天防線
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用atool“進程管理”關閉進程
Iexplorer.exe
(2)刪除病毒檔案:
%System32%msvcrl.dll
%Temp%pda****.tmp
%Programe Files%\Internet Explorer\iexplore.exe
(3)恢復病毒篡改的系統檔案:
移動%Temp%xa****.tmp檔案到%Programe Files%\Internet Explorer目錄下,更名為iexplore.exe。
