Trojan-Downloader.Win32.Pechkin.a

Trojan-Downloader.Win32.Pechkin.a是病毒木馬。該病毒屬木馬下載類,病毒運行後會嘗試連線網路下載病毒相關檔案到本地運行。病毒盜用PDF檔案圖示,誘騙用戶,複製自身到系統資料夾下,修改註冊表檔案,添加病毒副本到啟動項,並在系統目錄下釋放“winldr.ini”的檔案,該檔案用來記錄一些地址列表。

基本介紹

  • 外文名:Trojan-Downloader.Win32.Pechkin.a
  • 公開範圍:: 完全公開
  • 危害等級: 中
  • 病毒類型: 木馬
病毒簡介,行為分析,清除方案,

病毒簡介

病毒名稱: Trojan-Downloader.Win32.Pechkin.a
檔案 MD5: 5564E35D7D544597519DF6D740C9BEC6
檔案長度: 7,680 位元組
感染系統: Windows 98 及以上版本
開發工具: Microsoft Visual C++
加殼類型: 未知殼 + UPX
命名對照: Symentec[無]
Mcafee[無]

行為分析

1、複製原病毒副本到:%windir%\rechnung.pdf.exe
釋放病毒相關檔案:%windir%\winldr.ini
2、修改註冊表檔案
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
鍵值:字串:SVCHOST = "rechnung.pdf.exe"
3、病毒會嘗試從如下連結下載檔案並運行它們:
http://www.hair****ts.net/images/2.exe
http://www.hair****ts.net/images/3.exe
http://www.kand****u/eshop/sys/2.exe
http://www.kand****u/eshop/sys/3.exe
http://telecard****m.ua/files/2.exe
http://telecard****.ua/files/3.exe
http://www.or****ru/test/pics/2.exe
http://www.or****ru/test/pics/3.exe
http://222.36****181/unix/2.exe
http://222.36****181/unix/3.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案:
%windir%\rechnung.pdf.exe
%windir%\winldr.ini
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:SVCHOST = "rechnung.pdf.exe

相關詞條

熱門詞條

聯絡我們