Trojan/Win32.Flystud.ld[Dropper]:病毒標籤,病毒描

Trojan/Win32.Flystud.ldDropper為木馬類病毒，病毒運行後首先複製自身到%system32%\D71B90目錄下，並釋放多個動態程式庫檔案到%system32%\8A9EE5，並以。fne和。fnr後綴命名，病毒首先動態載入krnln.fnr檔案，獲取getnewsock函式地址，通過krnln.fnr自動調用其他的動態程式庫檔案，已達到載入的目的，通過shell.fne獲取系統環境變數以及系統名稱，並試圖通過郵件傳送訊息。

基本介紹

外文名：Trojan/Win32.Flystud.ld[Dropper]
病毒類型：木馬
公開範圍：完全公開
危害等級：4
開發工具： Microsoft Visual C++ 6.0
檔案長度：32,854 位元組

病毒標籤,病毒描述,本地行為,網路行為,清除方案,

病毒標籤

病毒名稱： Trojan/Win32.Flystud.ld[Dropper]

病毒類型：木馬

檔案 MD5： 3AD89FF7AAC3CF9413A86FE65DABE773

公開範圍：完全公開

危害等級： 4

感染系統： Windows98以上版本

開發工具： Microsoft Visual C++ 6.0 [Overlay]

病毒描述

由於病毒本身BUG，該病毒運行後會提示無效路徑。該病毒在當前用戶“程式\啟動”下創建捷徑並指向病毒本體，達到隨系統啟動的目的。連線網路訪問，並試圖訪問.

本地行為

病毒衍生檔案

%system32%\8A9EE5\cnvpe.fne

%system32%\8A9EE5\dp1.fne

%system32%\8A9EE5\eAPI.fne

%system32%\8A9EE5\HtmlView.fne

%system32%\8A9EE5\internet.fne

%system32%\8A9EE5\krnln.fnr

%system32%\8A9EE5\RegEx.fnr

%system32%\8A9EE5\shell.fne

%system32%\8A9EE5\spec.fne

%system32%\D71B90\4F24A4.EXE

%Documents and Settings%\「開始」選單\程式\啟動\4F24A4.lnk

網路行為

更改套接字進行網站訪問

協定：http

連線埠：80

地址：

訪問信息：

GET / HTTP/1.1

User-Agent: test

Host:

Cache-Control: no-cache

HTTP/1.1 200 OK

Date: Tue, 12 May 2009 05:47:27 GMT

Server: BWS/1.0

Content-Length: 3585

Content-Type: text/html

Cache-Control: private

Expires: Tue, 12 May 2009 05:47:27 GMT

Set-Cookie: BAIDUID=81FE350C1CFF02505E49DC9C21B6D137:FG=1; expires=Tue, 12-May-39 05:47:27 GMT; path=/; domain=.baidu.com

P3P: CP=" OTI DSP COR IVA OUR IND COM "

……

註：%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數

%Windir%\ WINDODWS所在目錄

%DriveLetter%\ 邏輯驅動器根目錄

%ProgramFiles%\ 系統程式默認安裝目錄

%HomeDrive% = C:\ 當前啟動的系統的所在分區

%Documents and Settings%\ 當前用戶文檔根目錄

清除方案

1、使用安天防線可徹底清除此病毒。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

（1）結束進程

4F24A4.EXE

（2）刪除檔案