木马Dropper.Win32.Small.apl分析

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

病毒标签:

  病毒名称: Trojan-Dropper.Win32.Small.apl

  病毒类型: 木马类

  文件 MD5: 1D4C07370BABEE309401A73EBAA64F58

  公开范围: 完全公开

  危害等级: 3

  文件长度: 70,207 字节

  感染系统: Win98以上系统

  开发工具: Microsoft Visual C++ 6.0

  加壳工具: 无

  病毒描述:

  该病毒是文件结合工具生成的目标文件,为木马的一种,病毒运行后释放病毒文件到系统目录下,命名为temp1.exe,temp2.exe;并执行分离出来的这两个病毒程序。在用户毫无察觉的情况下;修改注册表键值;在后台以temp1.exe开启端口,尝试连接远程控制端主机。一旦连接成功,控制端会对用户电脑进行文件上传下载,键盘信息记录,摄像头抓图,屏幕监控等远程控制。

  行为分析:

  1 、病毒运行后,衍生病毒文件:

      %system%\temp1.exe (文件 MD5: a5f8018df4209ae978b0907ce1664ff2 )
  %system%\temp2.exe (文件 MD5: 6350faf65f311c04cb4808ea3cad7ce7 )


  2 、尝试修改注册表:

      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load


  新: 字符串: "C:\WINDOWS\svchost.exe"

  旧: 字符串: ""

  3 、分别创建进程%system%\temp2.exe 和%system%\temp1.exe,以temp1.exe主动连接网络,等待病毒控制端连接:

  协议:TCP

  地址:211.69.242.**

  端口:8888

  对目标主机的操作:

  文件操作

  键盘记录

  屏幕监视

  进程,服务,注册表操作

  ……

  4 、此木马是通过文件结合工具将temp1.exe与temp2.exe两个病毒程序进行捆绑,在程序运行后,会分离出这两个病毒程序,并执行分离出来的两个病毒程序。

  5 、该病毒通过恶意网站、其它病毒或木马下载传播,释放出的病毒可收集用户本地信息,对用户电脑进行远程控制。

  注: %System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。

  清除方案:

  1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

  2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

  (1) 使用 安天木马防线 “进程管理”关闭病毒进程:

      temp1.exe
  temp2.exe


  (2) 删除病毒文件:

      %system%\temp1.exe
  %system%\temp2.exe


  (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项:

     HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load


  新: 字符串: "C:\WINDOWS\svchost.exe"

  旧: 字符串: ""

标签: 网络 网站 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:木马Clicker.Win32.Agent.av样本分析

下一篇:深信服SSL VPN 2008年全年市场占有率居第一位