Trojan-Downloader.Win32.Small.elo

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒标签：

[td=1,1,16%]

[td=1,1,84%]

病毒名称： Trojan-Downloader.Win32.Small.elo

中文名称：下载者变种

病毒类型：蠕虫类

文件 MD5： 49225E04EF3CC90B9B96AB6C9AC0CD9D

公开范围：完全公开

危害等级： 4

文件长度： 1,097,736 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual C++ 5.0

病毒描述：

该病毒运行后，衍生病毒文件到多个目录下，添加注册表自动运行项与系统服务项以跟随

系统引导病毒体。修改用户 host文件以重定向到不良网址，进而造成链式反应。下载的病毒体

多为网络游戏盗号程序。

行为分析：

1 、衍生下列副本与文件：

%WinDir%upxdnd.exe

%System32%msdebug.dll

%System32%

etsrvcs.dll

%System32%

wizAsktao.dll

%System32%

wizAsktao.exe

%System32%

wiztlbb.dll

%System32%

wiztlbu.exe

%System32%RemoteDbg.dll

%System32%upxdnd.dll

%System32%windds32.dll

%System32%WMIApiSrv.dll

%System32%xpdhcp.dll

2 、新建注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalled Components

StubPath

Value: String: "%WINdirSystem32

wiztlbu.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalled Components

StubPath

Value: String: "%WINdirSystem32

wiztlbu.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunUpxdnd

Value: String: "%WinDir%upxdnd.exe"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWZCSRVCDescription

Value: String: " 启用 IEEE 802.11 适配器的自动配置 ."

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWZCSRVCDisplayName

Value: String: "Wireless Service"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWZCSRVCImagePath

Value: Type: REG_EXPAND_SZ Length: 52 (0x34) bytes

%WinDir%Syste|m32

undll32.exenetsrvcs.dll,input.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWMIApiSrvDescription

Value: String: " 为 Windows Management Instrumentation

(WMI) 提供所需的系统函数。"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWMIApiSrvDispla yName

Value: String: "WMI Performance API"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWMIApiSrvImagePath

Value: Type: REG_EXPAND_SZ Length: 53 (0x35) bytes

%WinDir%System32

undll32.exe WMIApiSrv.dll,input.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinXPDHCPsvcDescription

Value: String: " 为远程计算机注册并更新 IP 地址。 "

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinXPDHCPsvcDisplayName

Value: String: "WinXP DHCP Service"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinXPDHCPsvcImagePath

Value: Type: REG_EXPAND_SZ Length: 50 (0x32) bytes

%WinDir%System32

undll32.exexpdhcp.dll,input.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWin32DDSDescription

Value: String: "Provides system and desktop level

support to the display driver"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWin32DDSDisplayName

Value: String: "Win32 Display Driver"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWin32DDSImagePath

Value: Type: REG_EXPAND_SZ Length: 52 (0x34) bytes

%WinDirSystem32

undll32.exe windds32.dll,input.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteDbgDescription

Value: String: " 允许 Administrators 组的成员进行远程调试。 "

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteDbgDisplayName

Value: String: "Remote Debug Service"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteDbgImagePath

Value: Type: REG_EXPAND_SZ Length: 53 (0x35) bytes

%WinDir%System32

undll32.exeRemoteDbg.dll,input.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSDebugsvcDescription

Value: String: " 为计算机系统提供 32 位调试服务。如果此服务被禁用，

所有明确依赖它的服务都将不能启动。 "

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSDebugsvcDisplayName

Value: String: "Win32 Debug Service"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSDebugsvcImagePath

Value: Type: REG_EXPAND_SZ Length: 51 (0x33) bytes

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHello DownloadDisplayName

Value: String: "TCP/IP Check"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHello DownloadImagePath

Value: Type: REG_EXPAND_SZ Length: 50 (0x32) bytes

%Program Files%Common FilesSystemwab32res.exe.

3 、修改 host 文件为下列内容：

127.0.0.1localhost

127.0.0.1mmm.caifu18.net

127.0.0.1www.18dmm.com

127.0.0.1d.qbbd.com

127.0.0.1www.5117music.com

127.0.0.1www.union123.com

127.0.0.1www.wu7x.cn

127.0.0.1www.54699.com

127.0.0.1www1.6tan.com

127.0.0.1www2.6tan.com

127.0.0.1www.97725.com

127.0.0.1down.97725.com

127.0.0.1ip.315hack.com

127.0.0.1ip.54liumang.com

127.0.0.1www.41ip.com

127.0.0.1xulao.com

127.0.0.1www.heixiou.com

127.0.0.1www.9cyy.com

127.0.0.1www.hunll.com

127.0.0.1www.down.hunll.com

127.0.0.1do.77276.com

127.0.0.1www.baidulink.com

127.0.0.1adnx.yygou.cn

127.0.0.1222.73.220.45

127.0.0.1www.f5game.com

127.0.0.1www.guazhan.cn

127.0.0.1wm,103715.com

127.0.0.1www.my6688.cn

127.0.0.1i.96981.com

127.0.0.1d.77276.com

127.0.0.1www1.cw988.cn

127.0.0.1cool.47555.com

127.0.0.1www.asdwc.com

127.0.0.155880.cn

127.0.0.161.152.169.234

127.0.0.1cc.wzxqy.com

127.0.0.1www.54699.com

127.0.0.1t.gcuj.com

127.0.0.1www.puma163.com

127.0.0.1ceoww.com

127.0.0.1boolom.com

127.0.0.1adult-novel.cn

127.0.0.1ll.chinasese.net

127.0.0.1www.tellumore.com

127.0.0.1www.o1wg.com

127.0.0.1www.qq756.com

127.0.0.1ll.chinasese.net

127.0.0.1cool.47555.com

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1)使用安天木马防线断开网络，结束病毒进程：

%WinDir%upxdnd.exe

%System32%

wizAsktao.exe

(2)删除并恢复病毒添加与修改的注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

ActiveSetupInstalledComponents

StubPath

Value: String: "%WINdirSystem32

wiztlbu.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

ActiveSetupInstalledComponents

StubPath

Value: String: "%WINdirSystem32

wiztlbu.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunUpxdnd

Value: String: "%WinDir%upxdnd.exe"