Trojan-Downloader.JS.Small.cv:基本信息,危害開發,行

該病毒屬木馬類，是htm檔案，病毒運行後連線網路，登入病毒指定網站，下載病毒檔案到%system%下，並自動運行，修改註冊表，添加下載的病毒為啟動項，以達到隨機啟動的目的，把病毒體注入到進程iexplore.exe中，隨iexplore.exe啟動。病毒運行後，打開iexplore.exe，連線病毒指定網站，這時，為幫助保護用戶的安全，Internet Explorer自動限制此檔案訪問用戶的計算機的活動內容，該檔案的腳本和ActiveX控制項就不會危害到用戶的計算機。

基本介紹

外文名：Trojan-Downloader.JS.Small.cv
病毒類型：木馬
公開範圍：完全公開
病毒名稱：Trojan-Downloader.JS

基本信息,危害開發,行為分析,清除方案,

基本信息

檔案 MD5： A28F7B9EF37AE4A43EBE5F7C2078E200

公開範圍：完全公開

危害開發

危害等級：中

檔案長度： 9,022 位元組

感染系統： windows98以上版本

開發工具： Java Script

加殼類型：無

命名對照： Symentec[無]

Mcafee[無]

行為分析

1、病毒運行後，連線網路，登入病毒指定網站下載病毒檔案：

IP：220.162.244.37:80

病毒路徑名

%system32%\0.exe

%system32%\ccg0.dll

%system32%\wdfmgr32.exe

病毒名

Trojan-Dropper.Win32.Agent.aul

Trojan-Spy.Win32.D

Trojan-Downloader.Win32.VB.akv

2、修改註冊表，添加下載的病毒為啟動項，以達到隨機啟動的目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

\Run\

鍵值: 字串: "wdfmgr32"="C:\WINDOWS\system32\wdfmgr32.exe"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

\InformationBar\

鍵值: 字串: "FirstTime "="DWORD: 0 (0) "

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\FileExts\.htm\OpenWithList\

鍵值: 字串: "a"="iexplore.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\FileExts\.htm\OpenWithList\

鍵值: 字串: "b"="NOTEPAD.EXE"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Explorer\FileExts\.htm\OpenWithList\

鍵值: 字串: "MRUList "="ba"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Ext\Stats\{BD96C556-65A3-11D0-983A-00C04FC29E36}\iexplore\

鍵值: 字串: "Count "="DWORD: 1 (0x1) "

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

\Ext\Stats\{BD96C556-65A3-11D0-983A-00C04FC29E36}\iexplore\

鍵值: 字串: "Type "="DWORD: 1 (0x1) "

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam

\MUICache\C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\

鍵值: 字串: " "="g0ld"

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam

\MUICache\C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\

鍵值: 字串: "uprar.exe "="Windows Calculator"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288BD9BD-F0DC-

46B1-81 B5-2B61DF8077CE}\InPrOcservEr32\

鍵值: 字串: "@"="C:\WINDOWS\system32\CCG0.DLL"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288BD9BD-F0DC-

46B1-81B5-2B61DF8077CE}\

鍵值: 字串: "@"="WINDowLaNman"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{288BD9BD-F0DC-

46B1-81B5-2B61DF8077CE}\InPrOcservEr32\

鍵值: 字串: "THrEaDingMOdel "="ApArTmEnt"

3、連線病毒指定網站，這時，為幫助保護用戶的安全，Internet Explorer自動限制此檔案訪問用戶的計算機的活動內容，該檔案的腳本和ActiveX控制項就不會危害到用戶的計算機。

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

(2) 刪除病毒檔案

%system32%\0.exe　 Trojan-Dropper.Win32.Agent.aul

%system32%\ccg0.dll　　 Trojan-Spy.Win32

%system32%\wdfmgr32.exe　Trojan-Downloader.Win32.VB.akv

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run

鍵值: 字串: "wdfmgr32"="C:\WINDOWS\system32\wdfmgr32.exe"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

\InformationBar\

鍵值: 字串: "FirstTime "="DWORD: 0 (0) "