Trojan-Downloader.Win32.Small.eat

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Trojan-Downloader.Win32.Small.eat

中文名称：疯狂下载者

病毒类型：木马

文件 MD5： 3C0C7A9E5AE07901DD90CC29663EDAC4

公开范围：完全公开

危害等级： 5

文件长度： 3,712 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual C++ 6.0

命名对照： AVG[Trojan horse Generic2.AABX]

DrWeb [Trojan.DownLoader.18062]

NOD32[Win32/TrojanDownloader.Small.NQY]

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下。自动从某 FTP 服务器下载病毒体，并造成连锁反应。包括广告件、木马程序、蠕虫程序，并不定期更新病毒版本。添加注册表系统服务项以随机引导病毒体，其中从 Ftp 服务器中下载的程序都具有上述功能。如果病毒作用时间过长，将导致系统崩溃。

行为分析：

1 、衍生下列副本与文件，文件名为随机生成：

%System32%dsam_u.dll infected: Trojan-Downloader.Win32.Agent.bgg

%System32%ydt_c.dll infected: Trojan-Downloader.Win32.Agent.bgg

%System32%driversdrmkaud.sys

%System32%driversdsam_u.sys

%System32%driversydt_c.sys

2 、新建注册表键值，键值为随机生成：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesudgxet50DisplayName

Value:drmkanu.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesudgxet50ImagePath

Value: Type: REG_EXPAND_SZ Length: 30 (0x1e) bytes

System32DRIVERS drmkaud.sys.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesudgxet50DisplayName

Value:dsam

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesudgxet50ImagePath

Value: Type: REG_EXPAND_SZ Length: 30 (0x1e) bytes

System32DRIVERS dsam_u.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesudgxet50DisplayName

Value: tydt

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesudgxet50ImagePath

Value: Type: REG_EXPAND_SZ Length: 30 (0x1e) bytes

System32DRIVERS tydt_c.sys

3 、连接下列 FTP 器下载病毒体：

ftp://202.105.179.32

user: nets****

pass: 43243wen****

4 、连接多个 SMTP 服务器，接收 SPAM:

5 、删除与替换系统文件。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

--------------------------------------------------------------------------------

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、使用发天盾防火墙控制网络 ( 推荐 )

3 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 断开网络

(2) 使用安天木马防线 “进程管理”关闭病毒进程

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项：