Trojan.Downloader.Win32.VB.hnl

Trojan.Downloader.Win32.VB.hnl

該病毒為木馬類,病毒圖示為資料夾圖示,用以迷惑用戶點擊;病毒運行後檢測當前目錄下是否存在和該檔案名稱相同的資料夾,若不存在,病毒程式退出,若存在衍生病毒檔案到臨時目錄,系統目錄下,並在啟動資料夾下添加病毒檔案的捷徑,使病毒檔案能夠隨系統檔案啟動;病毒運行完畢後,當有移動磁碟插入感染計算機後,病毒檔案將設定所有移動磁碟根目錄下的資料夾設定為隱藏屬性,並在移動磁碟根目錄下建立一個病毒名為隱藏資料夾名字的病毒體備份,對移動磁碟下的二級目錄下的資料夾不做處理;修改註冊表,使病毒檔案隨系統啟動。

基本介紹

  • 中文名:Trojan.Downloader.Win32.VB.hnl
  • 病毒類型: 木馬
  • 公開範圍: 完全公開
  • 危害等級: 4
病毒標籤,行為分析,清除方案,

病毒標籤

病毒名稱: Trojan-Downloader.Win32.VB.hnl
檔案 MD5 EAD7D367F00C9D02EF3F8119A083C463
檔案長度: 1,515,119 位元組
感染系統: Windows98以上版本
開發工具: VC++ 6.0
加殼類型: 未知殼

行為分析

本地行為
1、檔案運行後會釋放以下檔案
%System32%\DD33D3\00C3AC.EXE
%System32%\DE08B0\394d.EDT
%System32%\DE08B0\394d.inf
%System32%\DE08B0\3d30.inf
%System32%\306A39\spec.fne
%System32%\306A39\shell.fne
%System32%\306A39\RegEx.fnr
%System32%\306A39\krnln.fnr
%System32%\306A39\internet.fne
%System32%\306A39\eAPI.fne
%System32%\306A39\dp1.fne
%System32%\306A39\com.run
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\com.run
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\dp1.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\eAPI.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\internet.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\krnln.fnr
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\RegEx.fnr
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\shell.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\spec.fne
%Documents and Settings%%\Administrator\「開始」選單\程式\啟動\ .lnk
2、新增註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
註冊表值: "00C3AC"
類型: REG_SZ
值: "C:\WINDOWS\system32\DD33D3\00C3AC.EXE"
描述:啟動項,使病毒檔案隨系統啟動。
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數
%Windir%\   WINDODWS所在目錄
%DriveLetter%\  邏輯驅動器根目錄
%ProgramFiles%\  系統程式默認安裝目錄
%HomeDrive% = C:\  當前啟動的系統的所在分區
%Documents and Settings%\   當前用戶文檔根目錄

清除方案

1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用安天防線或ATOOL進程管理關閉病毒進程 00C3AC.exe(c:\WINDOWS\system32\DD33D3\00C3AC.EXE)。
(2)刪除病毒檔案
%System32%\DD33D3\00C3AC.EXE
%System32%\DE08B0\394d.EDT
%System32%\DE08B0\394d.inf
%System32%\DE08B0\3d30.inf
%System32%\306A39\spec.fne
%System32%\306A39\shell.fne
%System32%\306A39\RegEx.fnr
%System32%\306A39\krnln.fnr
%System32%\306A39\internet.fne
%System32%\306A39\eAPI.fne
%System32%\306A39\dp1.fne
%System32%\306A39\com.run
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\com.run
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\dp1.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\eAPI.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\internet.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\krnln.fnr
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\RegEx.fnr
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\shell.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\spec.fne
%Documents and Settings%%\Administrator\「開始」選單\程式\啟動\ .lnk
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
註冊表值: "00C3AC"
類型: REG_SZ
值: "C:\WINDOWS\system32\DD33D3\00C3AC.EXE"

熱門詞條

聯絡我們