Trojan.Win32.TianYan.a

病毒名称：Trojan.Win32.TianYan.a

病毒类型：木马类

危害等级：中

文件长度：481,700 字节

文件MD5：2936c9bf20d589f2ccd49b278c4ed50b

公开范围：完全公开

感染系统：Win9x以上所有版本

加壳类型：ASProtect 2.1x SKE -> Alexey Solodovnikov [Overlay]

病毒描述：

该病毒属木马类。病毒运行后在%Windir\%释放病毒副本server.exe与sever.dll，之后修改注册表文件，添加服务项,并将sever.dll插入到IEXPLORE.EXE进程中。而后打开若干端口，尝试连接IP为219.129.216.68和222.131.32.31。该病毒对用户有一定危害。

行为分析：

该病毒运行后在系统目录释放病毒副本

%Windir\% server.exe为系统隐藏文件

%Windir\%sever.dll为系统隐藏文件

新建注册表项：

HKLMSystemCurrentControlSetServices

TianYan_Server c:winntserver.exe

病毒会尝试连接下列IP：

219.129.216.68:80

222.131.32.31:180

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案 ：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭受感染病毒进程

IEXPLORE.EXE.

(2) 删除病毒文件

打开“我的电脑”->工具 -> 文件夹选项 -> 查看，去掉“隐藏受保护的操作系统文件”选择项，点选“显示所有文件与文件夹”选项，删除下列文件。

%Windir\%server.exe为系统隐藏文件

%Windir\%sever.dll为系统隐藏文件

(3) 停止服务TianYan_Server

(4) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKLMSystemCurrentControlSetServices

TianYan_Server%Windri%server.exe