Trojan.Win32.Dialer.qi

病毒名称： Trojan.Win32.Dialer.qi

病毒类型： 木马

文件 MD5： 6F9CDED1508D88B280B8DFA8146C117F

公开范围： 完全公开

危害等级： 中

文件长度： 15,176 字节

感染系统： Windows98 以上版本

开发工具： MASM32

加壳类型： UPX 0.89.6 - 1.02

命名对照： Symentec[无]

Mcafee[无]

病毒描述：

该病毒属木马类，病毒图标是moviemk.exe图标，用以迷惑用户点击。病毒运行后，在系统盘中衍生病毒文件，修改注册表，联接网络，开启端口，以达到修改IE主页的目的。

行为分析：

1、病毒运行后，在系统盘中衍生病毒文件：

%Documents and Settings%commanderMy Documentsaccesso.lnk

%Documents and Settings%commanderMy Documentsplug&play.lnk

病毒所在目录accesso.lnk

病毒所在目录plug&play.lnk

2、修改注册表：

HKEY_CURRENT_USERSoftwareMicrosoft

Internet ExplorerMain

键值: 字串: "Start Page "="www.other******.com/?rid=355"

HKEY_LOCAL_MACHINESYSTEMControlSet001

EnumRootLEGACY_RASMAN000

键值: 字串: "Control"="RasMan"

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRoot

LEGACY_RASMAN000Control

键值: 字串: "ActiveService "="RasMan"

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRoot

LEGACY_TAPISRV000

键值: 字串: "Control "="TapiSrv"

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRoot

LEGACY_TAPISRV000Control

键值: 字串: " ActiveService "="TapiSrv"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_RASMAN000

键值: 字串: "Control"="RasMan"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_RASMAN000

Control

键值: 字串: "ActiveService "="RasMan"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_TAPISRV000

键值: 字串: "Control"="TapiSrv"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnum

RootLEGACY_TAPISRV000

Control

键值: 字串: "ActiveService "="TapiSrv"

3、连接网络，开启端口，以达到修改IE主页的目的：

协议：

TCP

TCP

端口：

1097

1098 IP：

66.98.244.56

66.98.244.56

随机开启本地1024以上端口，如：1096

注：% Documents and Settings %是一个可变路径。病毒通过查询操作系统来决定当前Documents and Settings文件夹的位置。Windows操作系统中默认的安装路径是C: Documents and Settings。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%Documents and Settings%commanderMy Documentsaccesso.lnk

%Documents and Settings%commanderMy Documentsplug&play.lnk

病毒所在目录accesso.lnk

病毒所在目录plug&play.lnk

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_CURRENT_USERSoftwareMicrosoft

Internet ExplorerMain

键值: 字串: "Start Page "="www.other

******.com/?rid=355"

HKEY_LOCAL_MACHINESYSTEMControlSet001

EnumRootLEGACY_RASMAN000

键值: 字串: "Control"="RasMan"

HKEY_LOCAL_MACHINESYSTEMControlSet001Enum

RootLEGACY_RASMAN000Control

键值: 字串: "ActiveService "="RasMan"

HKEY_LOCAL_MACHINESYSTEMControlSet001Enum

RootLEGACY_TAPISRV000

键值: 字串: "Control "="TapiSrv"

HKEY_LOCAL_MACHINESYSTEMControlSet001Enum

RootLEGACY_TAPISRV000Control

键值: 字串: " ActiveService "="TapiSrv"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_RASMAN000

键值: 字串: "Control"="RasMan"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_RASMAN000

Control

键值: 字串: "ActiveService "="RasMan"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_TAPISRV000

键值: 字串: "Control"="TapiSrv"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

EnumRootLEGACY_TAPISRV000

Control

键值: 字串: "ActiveService "="TapiSrv"

• ·霍拉山古寺
• ·曲惠古城
• ·兰城
• ·四十里大墩烽燧
• ·甘珠尔库热喇嘛庙
• ·和硕深山古庙
• ·Trojan-Spy.Win32.VB.oe
• ·Trojan-Downloader.Win32
• ·Trojan-Downloader.Win32
• ·Trojan-PSW.Win32.WOW.ch