基本介紹
- 外文名:Trojan-Downloader.Win32.Pechkin.a
- 公開範圍:: 完全公開
- 危害等級: 中
- 病毒類型: 木馬
病毒簡介,行為分析,清除方案,
病毒簡介
病毒名稱: Trojan-Downloader.Win32.Pechkin.a
檔案 MD5: 5564E35D7D544597519DF6D740C9BEC6
檔案長度: 7,680 位元組
感染系統: Windows 98 及以上版本
開發工具: Microsoft Visual C++
加殼類型: 未知殼 + UPX
命名對照: Symentec[無]
Mcafee[無]
行為分析
1、複製原病毒副本到:%windir%\rechnung.pdf.exe
釋放病毒相關檔案:%windir%\winldr.ini
2、修改註冊表檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
鍵值:字串:SVCHOST = "rechnung.pdf.exe"
3、病毒會嘗試從如下連結下載檔案並運行它們:
http://www.hair****ts.net/images/2.exe
http://www.hair****ts.net/images/3.exe
http://www.kand****u/eshop/sys/2.exe
http://www.kand****u/eshop/sys/3.exe
http://telecard****m.ua/files/2.exe
http://telecard****.ua/files/3.exe
http://www.or****ru/test/pics/2.exe
http://www.or****ru/test/pics/3.exe
http://222.36****181/unix/2.exe
http://222.36****181/unix/3.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。