Trojan/Win32.Flystud.ld[Dropper]

Trojan/Win32.Flystud.ldDropper為木馬類病毒,病毒運行後首先複製自身到%system32%\D71B90目錄下,並釋放多個動態程式庫檔案到%system32%\8A9EE5,並以。fne和。fnr後綴命名,病毒首先動態載入krnln.fnr檔案,獲取getnewsock函式地址,通過krnln.fnr自動調用其他的動態程式庫檔案,已達到載入的目的,通過shell.fne獲取系統環境變數以及系統名稱,並試圖通過郵件傳送訊息。

基本介紹

  • 外文名:Trojan/Win32.Flystud.ld[Dropper]
  • 病毒類型:木馬
  • 公開範圍: 完全公開
  • 危害等級:4
  • 開發工具: Microsoft Visual C++ 6.0
  • 檔案長度:32,854 位元組
病毒標籤,病毒描述,本地行為,網路行為,清除方案,

病毒標籤

病毒名稱: Trojan/Win32.Flystud.ld[Dropper]
病毒類型: 木馬
檔案 MD5: 3AD89FF7AAC3CF9413A86FE65DABE773
公開範圍: 完全公開
危害等級: 4
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0 [Overlay]

病毒描述

由於病毒本身BUG,該病毒運行後會提示無效路徑。該病毒在當前用戶“程式\啟動”下創建捷徑並指向病毒本體,達到隨系統啟動的目的。連線網路訪問,並試圖訪問.

本地行為

病毒衍生檔案
%system32%\8A9EE5\cnvpe.fne
%system32%\8A9EE5\dp1.fne
%system32%\8A9EE5\eAPI.fne
%system32%\8A9EE5\HtmlView.fne
%system32%\8A9EE5\internet.fne
%system32%\8A9EE5\krnln.fnr
%system32%\8A9EE5\RegEx.fnr
%system32%\8A9EE5\shell.fne
%system32%\8A9EE5\spec.fne
%system32%\D71B90\4F24A4.EXE
%Documents and Settings%\「開始」選單\程式\啟動\4F24A4.lnk

網路行為

更改套接字進行網站訪問
協定:http
連線埠:80
地址:
訪問信息:
GET / HTTP/1.1
User-Agent: test
Host:
Cache-Control: no-cache
HTTP/1.1 200 OK
Date: Tue, 12 May 2009 05:47:27 GMT
Server: BWS/1.0
Content-Length: 3585
Content-Type: text/html
Cache-Control: private
Expires: Tue, 12 May 2009 05:47:27 GMT
Set-Cookie: BAIDUID=81FE350C1CFF02505E49DC9C21B6D137:FG=1; expires=Tue, 12-May-39 05:47:27 GMT; path=/; domain=.baidu.com
P3P: CP=" OTI DSP COR IVA OUR IND COM "
……
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\ WINDODWS所在目錄
%DriveLetter%\ 邏輯驅動器根目錄
%ProgramFiles%\ 系統程式默認安裝目錄
%HomeDrive% = C:\ 當前啟動的系統的所在分區
%Documents and Settings%\ 當前用戶文檔根目錄

清除方案

1、使用安天防線可徹底清除此病毒。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)結束進程
4F24A4.EXE
%system32%\8A9EE5\cnvpe.fne
%system32%\8A9EE5\dp1.fne
%system32%\8A9EE5\eAPI.fne
%system32%\8A9EE5\HtmlView.fne
%system32%\8A9EE5\internet.fne
%system32%\8A9EE5\krnln.fnr
%system32%\8A9EE5\RegEx.fnr
%system32%\8A9EE5\shell.fne
%system32%\8A9EE5\spec.fne
%system32%\D71B90\4F24A4.EXE
%Documents and Settings%\「開始」選單\程式\啟動\4F24A4.lnk

相關詞條

熱門詞條

聯絡我們