病毒名称:
Win32.MinStaller
类别: 特洛伊木马
病毒资料:
病毒特征:
该特洛伊木马能够通过储存在外部站点的脚本指令在用户机器上安装、执行并删除文件。
初始病毒子程序mnsvc.exe能够下载ausvc.exe文件,此文件能够自动更新各种指定的病毒子程序。
目前,此病毒能够在用户的硬盘上安装如下文件:
ausvc.exe (自动更新子程序)
absr.exe (浏览器帮助对象)
bvt.exe (浏览器帮助对象)
pmgr.exe
mBTcd.bak (数据文件)
ea.bin (数据文件)
pl.dat (数据文件)
undo.exe (卸载此木马的程序)
undo.bat
另外,它还分创建如下注册表键:
mnsvc.exe:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunmnsvc="%Windows%mnsvc.exe"
若另有一子程序下载并安装后,会创建如下注册表键:
ausvc.exe:
HKLMSoftwareMicrosoftWindowsCurrentversionRunausvc="%Windows%ausvc.exe"
HKCRCLSID{F53C844A-D9C8-4E92-B923-C05B46C4A7E3}
HKCRCLSID{FBE091E5-DF43-4FFB-AECC-7E3A3BC7B0D9}
ABsr.exe
HKLMSoftwareMicrosoftWindowsCurrentversionRunABsr"%Windows%absr.exe"
HKCRAppIDABsr.EXE
HKCRAppID{9A05FE9B-5B52-4D13-A77D-FA7C38557A8E}
HKCRCLSID{6541B981-2E27-46B1-A2CC-8264A75B74FE}
HKCRCLSID{C76BE992-2BC3-41A4-8B87-A8C01FE419A7}
HKCRTypeLib{C423B212-02B3-41CF-BE3A-532CE28180CD}
bvt.exe
HKLMSoftwareMicrosoftWindowsCurrentversionRunSysScan="%Windows%vt.exe"
HKCRAppIDvt.EXE
HKCRAppID{8B034058-08B0-4CB3-B2E8-60238B4967F2}
HKCRCLSID{868B015F-3515-44DB-B0AD-182CD058985E}
HKCRCLSID{9E2099A5-9483-43fe-92D1-68DBFBE968A2}
HKCRTypeLib{6D8B1B74-4AB8-473B-B479-253FA1936802}
用户需注意的是:此木马是通过存储在外部站点的指令来进行安装、获取及删除文件的。而其中的站点内容会经常变化。因此木马的功能也可能相应的发生变化。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
别名:Backdoor.Autoupder , Downloader-W , Win32/Downloader-W.A.Trojan, TROJ_SUA.A , TrojanDownloader.Win32.Minstaller
发现日期:
2002-6-30