Win32.Troj.Dropper.sp
威胁级别:★
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个文件间谍木马。它会查找并调用rar.exe程序将指定文件打包并加密,如果找不到rar.exe程序则自身在系统目录下释放一个2.0版本rar.exe。使得用户不能正常使用这些加密的文件。同时该病毒还会通过u盘传播。建议电脑用户升级病毒库查杀该病毒,以免中毒受害。
1、生成的文件
%SystemRoot%javaclassesjava.dll
%SystemRoot%system32kernel32.sys
%SystemRoot%system32mfc48.dll
2、注册CLSID组件
HKCRCLSID{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}
"(Default)" = "Java Class"
HKCRCLSID{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}InprocServer32
"(Default)" = "%SystemRoot%javaclassesjava.dll"
3、添加浏览器辅助对象
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}
"(Default)" = ""
4、添加启动项,随系统进程启动
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
"AppInit_DLLs" = "kernel32.sys"
5、加压密码为:dk407814.
手工清除病毒:
(1)使用icesword结束explorer.exe和svchost.exe进程中的java.dll,kernel32.sys,mfc48.dll模块。
(2)删除该病毒添加的CLSID组件、BHO组件和将AppInit_DLLs启动内容清空。
(3)重起系统
(4)将该病毒生成的这三个文件删除即可。