該病毒屬木馬類。病毒運行後在%\Windir\%釋放病毒副本server.exe與sever.dll,之後修改註冊表檔案,添加服務項,並將sever.dll插入到IEXPLORE.EXE進程中。而後打開若干連線埠,嘗試連線IP為219.129.216.68和222.131.32.31。該病毒對用戶有一定危害。
基本介紹
- 中文名:Trojan.Win32.TianYan.a
- 病毒類型:木馬類
- 危害等級:中
- 公開範圍:完全公開
- 感染系統:Win9x以上所有版本
- 清除方案:清除請按照行為分析刪除對應檔案
概述,行為分析,清除方案,
概述
病毒名稱:Trojan.Win32.TianYan.a
病毒類型:木馬類
危害等級:中
檔案長度:481,700 位元組
檔案MD5:2936c9bf20d589f2ccd49b278c4ed50b
公開範圍:完全公開
感染系統:Win9x以上所有版本
加殼類型:ASProtect 2.1x SKE -> Alexey Solodovnikov [Overlay]
行為分析
該病毒運行後在系統目錄釋放病毒副本
%\Windir\% server.exe 為系統隱藏檔案
%\Windir\% sever.dll 為系統隱藏檔案
新建註冊表項:
HKLM\System\CurrentControlSet\Services
TianYan_Server c:\winnt\server.exe
病毒會嘗試連線下列IP:
219.129.216.68:80
222.131.32.31:180
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
IEXPLORE.EXE.
(2) 刪除病毒檔案
打開“我的電腦”->工具 -> 資料夾選項 -> 查看,去掉“隱藏受保護的作業系統檔案”選擇項,點選“顯示所有檔案與資料夾”選項,刪除下列檔案。
%\Windir\% server.exe 為系統隱藏檔案
%\Windir\% sever.dll 為系統隱藏檔案
(3) 停止服務TianYan_Server
(4) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKLM\System\CurrentControlSet\Services
TianYan_Server%Windri%server.exe