Trojan-Downloader.Win32.Small.eat

該病毒運行後,衍生病毒檔案到系統目錄下。自動從某 FTP 伺服器下載病毒體,並造成連鎖反應。包括廣告件、木馬程式蠕蟲程式,並不定期更新病毒版本。添加註冊表系統服務項以隨機引導病毒體,其中從 Ftp 伺服器中下載的程式都具有上述功能。 如果病毒作用時間過長,將導致系統崩潰。

基本介紹

  • 中文名:瘋狂下載者
  • 外文名:Trojan-Downloader.Win32.Small.eat
  • 病毒類型:木馬
  • 感染系統:Win9X以上系統
  • 公開範圍:完全公開
基本信息,行為分析,清除方案,

基本信息

病毒名稱: Trojan-Downloader.Win32.Small.eat
檔案 MD5: 3C0C7A9E5AE07901DD90CC29663EDAC4
危害等級: 5
檔案長度: 3,712 位元組
開發工具: Microsoft Visual C++ 6.0
命名對照: AVG[Trojan horse Generic2.AABX]
DrWeb [Trojan.DownLoader.18062]
NOD32[Win32/TrojanDownloader.Small.NQY]

行為分析

1 、 衍生下列副本與檔案,檔案名稱為隨機生成:
%System32%\dsam_u.dll infected:  Trojan-Downloader.Win32.Agent.bgg
%System32%\tydt_c.dll infected:  Trojan-Downloader.Win32.Agent.bgg
%System32%\drivers\drmkaud.sys
%System32%\drivers\dsam_u.sys
%System32%\drivers\tydt_c.sys
2 、 新建註冊表鍵值,鍵值為隨機生成:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\udgxet50\DisplayName
Value:drmkanu.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\udgxet50\ImagePath
Value: Type: REG_EXPAND_SZ Length: 30 (0x1e) bytes
System32\DRIVERS\ drmkaud.sys.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\udgxet50\DisplayName
Value:dsam
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\udgxet50\ImagePath
Value: Type: REG_EXPAND_SZ Length: 30 (0x1e) bytes
System32\DRIVERS\ dsam_u.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\udgxet50\DisplayName
Value: tydt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\udgxet50\ImagePath
Value: Type: REG_EXPAND_SZ Length: 30 (0x1e) bytes
System32\DRIVERS\ tydt_c.sys
3 、 連線下列 FTP 器下載病毒體:
ftp://202.105.179.32
user: nets****
pass: 43243wen****
4 、連線多個 SMTP 伺服器,接收 SPAM:
5 、刪除與替換系統檔案
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 使用發天盾防火牆控制網路 ( 推薦 )
3 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 斷開網路
(2) 使用 安天木馬防線進程管理”關閉病毒進程
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
udgxet50\DisplayName
Value:drmkanu.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
udgxet50\ImagePath
Value: Type: REG_EXPAND_SZ Length: 30 (0x1e) bytes
System32\DRIVERS\ drmkaud.sys.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
udgxet50\DisplayName
Value:dsam
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
udgxet50\ImagePath
Value: Type: REG_EXPAND_SZ Length: 30 (0x1e) bytes
System32\DRIVERS\ dsam_u.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
udgxet50\DisplayName
Value: tydt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
udgxet50\ImagePath
Value: Type: REG_EXPAND_SZ Length: 30 (0x1e) bytes
System32\DRIVERS\ tydt_c.sys
(4) 重新啟動計算機
(5) 刪除病毒釋放檔案:
%System32%\dsam_u.dll infected:
Trojan-Downloader.Win32.Agent.bgg
%System32%\tydt_c.dll infected:
Trojan-Downloader.Win32.Agent.bgg
%System32%\drivers\drmkaud.sys
%System32%\drivers\dsam_u.sys
%System32%\drivers\tydt_c.sys

相關詞條

熱門詞條

聯絡我們