Trojan-Downloader.Win32.Small.hsh屬木馬類。病毒運行後衍生檔案到系統臨時目錄下,修改註冊表,創建服務,以達到隨機運行的目的,病毒在計算機重新啟動後將修改%Windir%\explorer.exe檔案,並載入,使任務管理器中出現兩個explorer.exe進程,連線網路下載病毒檔案.
基本介紹
- 外文名:Trojan.Downloader.Win32.Small.zjt
- 病毒類型:蠕蟲
- 公開範圍:完全公開
- 危害等級:4
總覽,病毒描述,主要危害,傳播方式,行為分析,本地行為,網路行為,清除方案,
總覽
病毒名稱: Trojan-Downloader.Win32.Small.zjt
檔案 MD5: F8820809EBCAB9AC87CA039A0D974F59
檔案長度: 225,280 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 7.0
傳播方式:利用電子郵件傳播
病毒描述
主要危害
該病毒為廣告件類病毒,病毒運行之後調用FindFirstUrlCacheEntryA,獲取IE快取地址信息,刪除internet臨時資料夾的檔案,調用API函式GetKeyboardLayoutList獲得系統適用的所有鍵盤布局的一個列表,調用CreateMutex創建一個互斥體,MutexName= "{A56DECD8-1102-49e9-BFD5-17FBE35197F2}"防止病毒多次運行,複製自身並衍生病毒檔案lphcrm3j0e37v.exe、phcrm3j0e37v.bmp、pphcrm3j0e37v.exe(隨機檔案名稱)檔案到%System32%目錄下,並添加到註冊表桌面項某些鍵值替換為病毒釋放的bmp檔案,將現有的桌面背景替換為病毒釋放的bmp檔案,設定屬性為不可更改,使用戶無法替換桌面背景,將病毒lphcrm3j0e37v.exe檔案添加到註冊表啟動項,達到開機自啟動目的,獲取臨時%temp%目錄資料夾,釋放.ttE.tmp.vbs腳本檔案,調用ShellExecuteW將其運行,等待1000ms後再將其刪除,獲取%System32%目錄在此目錄下衍生blphcrm3j0e37v.scr螢幕保護程式替換系統現用的螢幕保護程式,調用API連線網路下載惡意程式強制安裝antivirus XP 2008軟體,病毒運行完畢之後創建BAT批處理檔案刪除自身。
傳播方式
該病毒通過電子郵件傳播。
郵件內容為:
New photos and video of Mars. To look only here!
http://dieffeg****.it/fores/l4.php
New photos and video of Mars. To look only here!
http://desi****.fr/fores/l4.php
行為分析
本地行為
1、檔案運行後會釋放以下檔案:
%system32%\phcrm3j0e37v.bmp (隨機檔案名稱)
%system32%\lphcrm3j0e37v.exe (隨機檔案名稱)
%system32%\blphcrm3j0e37v.scr (隨機檔案名稱)
%system32%\pphcrm3j0e37v.exe (隨機檔案名稱)
2、修改註冊表項,改變桌面顯示設定:
HKEY_CURRENT_USER\Control Panel\Colors\Background
新: 字元串: "0 0 255"
舊: 字元串: "0 78 152"
描述:設定背景圖片的尺寸
HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper
新: 字元串: "C:\WINDOWS\system32\phcrm3j0e37v.bmp"
舊: 字元串: ""
HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
新: 字元串: "C:\WINDOWS\system32\blphcrm3j0e37v.scr"
舊: 字元串: "C:\WINDOWS\System32\logon.scr"
描述:替換當前桌面螢幕保護程式為病毒指定的螢幕保護
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
新: 字元串: "C:\WINDOWS\system32\phcrm3j0e37v.bmp"
舊: 字元串: "C:\WINDOWS\web\wallpaper\Bliss.bmp"
描述:替換當前桌面背景為病毒指定的背景
HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle
新: 字元串: "0"
舊: 字元串: "2"
3、添加註冊表病毒啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Software Notifier\InstallationID
值: 字元串: "b154ae95-06a3-470b-a06a-ce44408a3f0b"
描述:註冊病毒安裝ID號
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\lphcrm3j0e37v
值: 字元串: "C:\WINDOWS\system32\lphcrm3j0e37v.exe"
描述:添加病毒開機啟動項
4、調用FindFirstUrlCacheEntryA,獲取IE快取地址信息,刪除internet臨時資料夾的檔案,調用API函式GetKeyboardLayoutList獲得系統適用的所有鍵盤布局的一個列表,調用CreateMutex創建一個互斥體,MutexName = "{A56DECD8-1102-49e9-BFD5-17FBE35197F2}"防止病毒多次運行。
5、獲取臨時%temp%目錄資料夾,釋放.ttE.tmp.vbs腳本檔案,調用ShellExecuteW將其運行,等待1000ms後再將其刪除,調用API連線網路下載惡意程式強制安裝antivirus XP 2008軟體。
XP Antivirus 2008是一種帶欺騙性質的偽裝成安全軟體的惡意軟體。以系統存在漏洞為由誘惑用戶安裝,然後開機就看見桌面背景被換成一張藍色的病毒警告頁面,XP Antivirus 2008正在掃描,且掃描出一堆“病毒”,且真有蟑螂般小蟲在桌面跑來跑去,啃噬桌面圖示,引誘用戶去註冊軟體解決這個“大麻煩”。
被強制安裝antivirus XP 2008軟體後的用戶桌面被強制更改,安裝完畢後自動掃描電腦假像顯示電腦有病毒然後提示用戶是否刪除。當點擊是後彈出視窗要求輸入用戶名及密碼騙取用戶付費後使用。
網路行為
連線以下網站下載惡意軟體,安裝antivirus XP 2008軟體
http://www.r***.org
http://avx****.com
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL進程管理結束病毒進程。
(2) 恢復註冊表項:
HKEY_CURRENT_USER\Control Panel
\Colors\Background
新: 字元串: "0 0 255"
舊: 字元串: "0 78 152"
描述:設定背景圖片的尺寸
HKEY_CURRENT_USER\Control Panel\Desktop
\OriginalWallpaper
新: 字元串: "C:\WINDOWS\system32
\phcrm3j0e37v.bmp"
舊: 字元串: ""
HKEY_CURRENT_USER\Control Panel
\Desktop\SCRNSAVE.EXE
新: 字元串: "C:\WINDOWS\system32
\blphcrm3j0e37v.scr"
舊: 字元串: "C:\WINDOWS\System32\logon.scr"
描述:替換當前桌面螢幕保護程式為病毒指定的螢幕保護
HKEY_CURRENT_USER\Control Panel
\Desktop\Wallpaper
新: 字元串: "C:\WINDOWS\system32
\phcrm3j0e37v.bmp"
舊: 字元串: "C:\WINDOWS\web\wallpaper\Bliss.bmp"
描述:替換當前桌面背景為病毒指定的背景
HKEY_CURRENT_USER\Control Panel\Desktop
\WallpaperStyle
新: 字元串: "0"
舊: 字元串: "2
(3)刪除病毒添加的註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Software Notifier\InstallationID
值: 字元串: "b154ae95-06a3-470b-a06a-ce44408a3f0b"
描述:註冊病毒安裝ID號
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\lphcrm3j0e37v
值: 字元串: "C:\WINDOWS\system32\lphcrm3j0e37v.exe"
描述:添加病毒開機啟動項
(4)刪除病毒毒衍生的檔案:
%system32%\phcrm3j0e37v.bmp
%system32%\lphcrm3j0e37v.exe
%system32%\blphcrm3j0e37v.scr
(5)刪除 XP Antivirus 2008安裝的所有檔案:
使用ATOOL管理工具找到pphcrm3j0e37v.exe進程將其結束
(註:該檔案用來保護XP Antivirus 2008防止被刪除)
刪除%Program Files%\目錄下的rhcvm3j0e37v資料夾
