Trojan-Downloader.JS.Small.cv

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Trojan-Downloader.JS.Small.cv

病毒类型：木马

文件 MD5： A28F7B9EF37AE4A43EBE5F7C2078E200

公开范围：完全公开

危害等级：中

文件长度： 9,022 字节

感染系统： windows98以上版本

开发工具： Java Script

加壳类型：无

命名对照： Symentec[无]

Mcafee[无]

病毒描述：

该病毒属木马类，是htm文件，病毒运行后连接网络，登陆病毒指定网站，下载病毒文件到%system%下，并自动运行，修改注册表，添加下载的病毒为启动项，以达到随机启动的目的，把病毒体注入到进程iexplore.exe中，随iexplore.exe启动。病毒运行后，打开iexplore.exe，连接病毒指定网站，这时，为帮助保护用户的安全，Internet Explorer自动限制此文件访问用户的计算机的活动内容，该文件的脚本和ActiveX控件就不会危害到用户的计算机。

行为分析：

1、病毒运行后，连接网络，登陆病毒指定网站下载病毒文件：

IP：220.162.244.37:80

域名：http://count22.51yes.com/click.aspx

病毒路径名

%system32%.exe

%system32%ccg0.dll

%system32%wdfmgr32.exe

病毒名

Trojan-Dropper.Win32.Agent.aul

Trojan-Spy.Win32.Delf.tc

Trojan-Downloader.Win32.VB.akv

2、修改注册表，添加下载的病毒为启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run

键值: 字串: "wdfmgr32"="C:WINDOWSsystem32wdfmgr32.exe"

HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

InformationBar

键值: 字串: "FirstTime "="DWORD: 0 (0) "

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerFileExts.htmOpenWithList

键值: 字串: "a"="iexplore.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerFileExts.htmOpenWithList

键值: 字串: "b"="NOTEPAD.EXE"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerFileExts.htmOpenWithList

键值: 字串: "MRUList "="ba"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExtStats{BD96C556-65A3-11D0-983A-00C04FC29E36}iexplore

键值: 字串: "Count "="DWORD: 1 (0x1) "

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExtStats{BD96C556-65A3-11D0-983A-00C04FC29E36}iexplore

键值: 字串: "Type "="DWORD: 1 (0x1) "

HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoam

MUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp

键值: 字串: "g0ld.com "="g0ld"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoam

MUICacheC:DOCUME~1COMMAN~1LOCALS~1Temp

键值: 字串: "uprar.exe "="Windows Calculator"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{288BD9BD-F0DC-

46B1-81 B5-2B61DF8077CE}InPrOcservEr32

键值: 字串: "@"="C:WINDOWSsystem32CCG0.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{288BD9BD-F0DC-

46B1-81B5-2B61DF8077CE}

键值: 字串: "@"="WINDowLaNman"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{288BD9BD-F0DC-

46B1-81B5-2B61DF8077CE}InPrOcservEr32

键值: 字串: "THrEaDingMOdel "="ApArTmEnt"

3、连接病毒指定网站，这时，为帮助保护用户的安全，Internet Explorer自动限制此文件访问用户的计算机的活动内容，该文件的脚本和ActiveX控件就不会危害到用户的计算机。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%system32%.exeTrojan-Dropper.Win32.Agent.aul

%system32%ccg0.dllTrojan-Spy.Win32.Delf.tc

%system32%wdfmgr32.exeTrojan-Downloader.Win32.VB.akv

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun

键值: 字串: "wdfmgr32"="C:WINDOWSsystem32wdfmgr32.exe"

HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

InformationBar

键值: 字串: "FirstTime "="DWORD: 0 (0) "