Trojan-Dropper.Win32.Microjoin.gc病毒屬於木馬類,可以偷取用戶QQ密碼、獲取用戶的IP位址等。衍生病毒檔案Wn_Sys8x.Sys到%Program Files%\Internet Explorer\PLUGINS下,若要衍生的病毒檔案已經存在,創建另一個檔案Wn_Sys8x.Tao作為副本,查找E盤,在根目錄下創建病毒檔案,使用戶雙擊打開E盤時,運行病毒檔案;修改註冊表添加HOOK項,以達到隨特定程式啟動的目的;該病毒通過移動磁碟進行傳播。
基本介紹
- 外文名:Trojan-Dropper.Win32.Microjoin.gc
- 病毒類型:木馬
- 檔案長度:33,396位元組
- 感染系統:Windows流行版本
Trojan-Dropper.Win32.Microjoin.gc
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
開發工具: Borland Delphi 6.0 - 7.0
病毒描述:
行為分析:
1、檔案運行後會釋放以下檔案
%Program Files%\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Tao
E:\autorun.inf
E:\autorun.exe
2、新增註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9963387B-212E-4643-B207-82DAEA0E713D}\inProCserveR32]
註冊表值:"@"
類型: REG_SZ
值:"C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys"
描述: 為病毒檔案設定ID號
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
註冊表值:"{9963387B-212E-4643-B207-82DAEA0E713D}"
類型: REG_SZ
值:
描述: 將病毒檔案的ID號添加到HOOK項中,使其隨其他程式啟動。
註:%Temp%是一個可變路徑,是系統當前用戶AAAAA下的C:\Documents and Settings\
AAAAA\Local Settings\Temp目錄。
代碼分析
1、在E盤根目錄下衍生病毒檔案。
2、病毒檔案中autorun.inf、Sy_Win7k.Jmp檔案均通過調用00404A9C子程式來實現其創建過程,00404A9C子程式代碼如下:
清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(2) 刪除病毒檔案
%Program Files%\Internet Explorer\PLUGINS\Sy_Win7k.Jmp
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Tao
E:\autorun.inf
E:\autorun.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9963387B-212E-4643-B207-82DAEA0E713D}\inProCserveR32]
註冊表值:"@"
類型: REG_SZ
值:"C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
註冊表值:"{9963387B-212E-4643-B207-82DAEA0E713D}"
類型: REG_SZ