Win32.Troj.Dropper.sp

威胁级别：★

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个文件间谍木马。它会查找并调用rar.exe程序将指定文件打包并加密，如果找不到rar.exe程序则自身在系统目录下释放一个2.0版本rar.exe。使得用户不能正常使用这些加密的文件。同时该病毒还会通过u盘传播。建议电脑用户升级病毒库查杀该病毒，以免中毒受害。

1、生成的文件

%SystemRoot%javaclassesjava.dll

%SystemRoot%system32kernel32.sys

%SystemRoot%system32mfc48.dll

2、注册CLSID组件

HKCRCLSID{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}

"(Default)" = "Java Class"

HKCRCLSID{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}InprocServer32

"(Default)" = "%SystemRoot%javaclassesjava.dll"

3、添加浏览器辅助对象

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}

"(Default)" = ""

4、添加启动项，随系统进程启动

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows

"AppInit_DLLs" = "kernel32.sys"

5、加压密码为：dk407814.

手工清除病毒：

（1）使用icesword结束explorer.exe和svchost.exe进程中的java.dll，kernel32.sys，mfc48.dll模块。

（2）删除该病毒添加的CLSID组件、BHO组件和将AppInit_DLLs启动内容清空。

（3）重起系统

（4）将该病毒生成的这三个文件删除即可。