木马Downloader.Win32.Small.ewy分析
2018-06-11 来源:
病毒标签:
病毒名称: Trojan-Downloader.Win32.Small.ewy
中文名称: 露珠
病毒类型: 木马
文件 MD5: A120521DB73BBF1D0A8BDFB90E2D758B
公开范围: 完全公开
危害等级: 中等
文件长度: 脱壳前14,689 字节,脱壳后71,680 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual C++ 6.0
加壳工具: FSG 2.0 -> bart/xt
病毒描述:
该病毒运行后,添加注册表自动运行项与服务项,衍生病毒文件到系统目录下。病毒的主要行为为关闭对病毒不利的安全程序,并连接远程地址下载病毒体。
行为分析:
1 、衍生下列副本与文件:
%System32%\progmon.exe
%System32%\internt.exe
%System32%\IME\svchost.exe
2 、新建注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Internt
Value: String: "%WINDIR%System32\internt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Program file
RunServices\msvcc25
Value: String: "%WINDIR%System32\progmon.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+\DisplayName
Value: String: "Alerter COM+"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+\ImagePath
Value: Type: REG_EXPAND_SZ Length: 36 (0x24) bytes
%WINDIR%System32\IME\svchost.exe.
3 、修改下列注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
4 、连接远程地址:
60.190.114.*** 80
5 、匹配下列窗口标题,如有则关闭窗口:
Windows 任务管理器
安全卫士
Virus
病毒
firewall
Process
anti
木马
优化
查杀
down
卡巴
超级巡警
专杀
扫描
6 、病毒试图通过自身携带的用户名与弱口令列表通过网络传播。
7 、病毒会在移动存储设备中生成自动运行文件,以传播自身。
注: %System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线关闭下列进程:
%System32%\IME\svchost.exe
(2) 恢复注册表项为旧值并打开隐藏文件选项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
(3) 删除病毒释放文件:
%System32%\progmon.exe
%System32%\internt.exe
%System32%\IME\svchost.exe
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
