病毒名称: Trojan-Downloader.JS.Small.cv
病毒类型: 木马
文件 MD5: A28F7B9EF37AE4A43EBE5F7C2078E200
公开范围: 完全公开
危害等级: 中
文件长度: 9,022 字节
感染系统: windows98以上版本
开发工具: Java Script
加壳类型: 无
命名对照: Symentec[无]
Mcafee[无]
病毒描述:
该病毒属木马类,是htm文件,病毒运行后连接网络,登陆病毒指定网站,下载病毒文件到%system%下,并自动运行,修改注册表,添加下载的病毒为启动项,以达到随机启动的目的,把病毒体注入到进程iexplore.exe中,随iexplore.exe启动。病毒运行后,打开iexplore.exe,连接病毒指定网站,这时,为帮助保护用户的安全,Internet Explorer自动限制此文件访问用户的计算机的活动内容,该文件的脚本和ActiveX控件就不会危害到用户的计算机。
行为分析:
1、病毒运行后,连接网络,登陆病毒指定网站下载病毒文件:
IP:220.162.244.37:80
域名:http://count22.51yes.com/click.aspx
病毒路径名
%system32%�.exe
%system32%ccg0.dll
%system32%wdfmgr32.exe
病毒名
Trojan-Dropper.Win32.Agent.aul
Trojan-Spy.Win32.Delf.tc
Trojan-Downloader.Win32.VB.akv
2、修改注册表,添加下载的病毒为启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run
键值: 字串: "wdfmgr32"="C:WINDOWSsystem32wdfmgr32.exe"
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
InformationBar
键值: 字串: "FirstTime "="DWORD: 0 (0) "
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerFileExts.htmOpenWithList
键值: 字串: "a"="iexplore.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerFileExts.htmOpenWithList
键值: 字串: "b"="NOTEPAD.EXE"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerFileExts.htmOpenWithList
键值: 字串: "MRUList "="ba"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExtStats{BD96C556-65A3-11D0-983A-00C04FC29E36}iexplore
键值: 字串: "Count "="DWORD: 1 (0x1) "
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExtStats{BD96C556-65A3-11D0-983A-00C04FC29E36}iexplore
键值: 字串: "Type "="DWORD: 1 (0x1) "
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoam
MUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp
键值: 字串: "g0ld.com "="g0ld"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoam
MUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp
键值: 字串: "uprar.exe "="Windows Calculator"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{288BD9BD-F0DC-
46B1-81 B5-2B61DF8077CE}InPrOcservEr32
键值: 字串: "@"="C:WINDOWSsystem32CCG0.DLL"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{288BD9BD-F0DC-
46B1-81B5-2B61DF8077CE}
键值: 字串: "@"="WINDowLaNman"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{288BD9BD-F0DC-
46B1-81B5-2B61DF8077CE}InPrOcservEr32
键值: 字串: "THrEaDingMOdel "="ApArTmEnt"
3、连接病毒指定网站,这时,为帮助保护用户的安全,Internet Explorer自动限制此文件访问用户的计算机的活动内容,该文件的脚本和ActiveX控件就不会危害到用户的计算机。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%system32%�.exeTrojan-Dropper.Win32.Agent.aul
%system32%ccg0.dllTrojan-Spy.Win32.Delf.tc
%system32%wdfmgr32.exeTrojan-Downloader.Win32.VB.akv
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
键值: 字串: "wdfmgr32"="C:WINDOWSsystem32wdfmgr32.exe"
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer
InformationBar
键值: 字串: "FirstTime "="DWORD: 0 (0) "
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerFileExts.htmOpenWithList
键值: 字串: "a"="iexplore.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerFileExts.htmOpenWithList
键值: 字串: "b"="NOTEPAD.EXE"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerFileExts.htmOpenWithList
键值: 字串: "MRUList "="ba"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExtStats{BD96C556-65A3-11D0-983A-00C
04FC29E36}iexplore
键值: 字串: "Count "="DWORD: 1 (0x1) "
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExtStats{BD96C556-65A3-11D0-983A-00C
04FC29E36}iexplore
键值: 字串: "Type "="DWORD: 1 (0x1) "
HKEY_CURRENT_USERSoftwareMicrosoftWindows
ShellNoRoamMUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp
键值: 字串: "g0ld.com "="g0ld"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
ShellNoRoamMUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp
键值: 字串: "uprar.exe "="Windows Calculator"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}InPrOcservEr32
键值: 字串: "@"="C:WINDOWSsystem32CCG0.DLL"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}
键值: 字串: "@"="WINDowLaNman"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID
{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}InPrOcservEr32
键值: 字串: "THrEaDingMOdel "="ApArTmEnt"
