Trojan-Dropper.Win32.Small.cub(com.run,dp1.fne )分析
时间:2008-07-10 12:31:43 来源: 作者:
病毒描述:
该病毒属于刷流量类木马,病毒运行后,判断当前程序的文件名和路径是否为
%System32%\XP-C300C3AC.EXE,如果不是该路径和文件名,将调用资源管理器打开当
前目录下和自己同名的文件夹;若文件夹不存在将弹出无法找到文件夹的错误提示,复
制自身到%System32%目录下,并衍生病毒配置文件以及易语言运行所需要的库文件;修
改注册表添加启动项,使病毒文件随系统启动而运行;连接网络访问指定站点,为被访
问的网站刷流量;被感染计算机接入移动磁盘后,病毒进程将遍历移动磁盘根目录下的
文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属
性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到移动磁
盘传染病毒的目的;病毒运行完毕后删除自身。
被刷网站(http://hi.baidu.com/sile*****)约以每秒10次访问量的速度刷新,
其中一篇帖子的访问量高达500,000以上,对网络的正常使用有比较严重的影响。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%System32%\com.run 266,240 字节
%System32%\dp1.fne 114,688 字节
%System32%\eAPI.fne 323,584 字节
%System32%\internet.fne 184,320 字节
%System32%\krnln.fnr 1,097,728 字节
%System32%\og.dll 692 字节
%System32%\og.edt 512 字节
%System32%\RegEx.fne 167,936 字节
%System32%\shell.fne 40,960 字节
%System32%\spec.fne 73,728 字节
%System32%\ul.dll 2404 字节
%System32%\XP-C300C3AC.EXE 1,227,891 字节
2、新增注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值: "XP-C300C3AC"
类型: REG_SZ
值: "C:\WINDOWS\system32\XP-C300C3AC.EXE"
描述: 启动项,使指定的路径下的文件随系统的启动而运行。
网络行为:
1、访问指定网站,为网站刷流量:
访问的网站地址:
http://hi.baidu.com/sile***** 刷流量站点
http://www.microsoft.com/en/us/def****.aspx 微软官方主页
http://www.baidu.com/?pn=M08**** 百度主页
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天防线工具中“进程管理”关闭病毒进程:
XP-C300C3AC.EXE
(2)删除病毒文件:
%System32%\com.run
%System32%\dp1.fne
%System32%\eAPI.fne
%System32%\internet.fne
%System32%\krnln.fnr
%System32%\og.dll
%System32%\og.edt
%System32%\RegEx.fne
%System32%\shell.fne
%System32%\spec.fne
%System32%\ul.dll
%System32%\XP-C300C3AC.EXE
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值: "XP-C300C3AC"
类型: REG_SZ
值: "C:\WINDOWS\system32\XP-C300C3AC.EXE"
该病毒属于刷流量类木马,病毒运行后,判断当前程序的文件名和路径是否为
%System32%\XP-C300C3AC.EXE,如果不是该路径和文件名,将调用资源管理器打开当
前目录下和自己同名的文件夹;若文件夹不存在将弹出无法找到文件夹的错误提示,复
制自身到%System32%目录下,并衍生病毒配置文件以及易语言运行所需要的库文件;修
改注册表添加启动项,使病毒文件随系统启动而运行;连接网络访问指定站点,为被访
问的网站刷流量;被感染计算机接入移动磁盘后,病毒进程将遍历移动磁盘根目录下的
文件夹,衍生自身到移动磁盘根目录下,更名为检测到的文件夹名称,修改原文件夹属
性为隐藏,使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒, 以达到移动磁
盘传染病毒的目的;病毒运行完毕后删除自身。
被刷网站(http://hi.baidu.com/sile*****)约以每秒10次访问量的速度刷新,
其中一篇帖子的访问量高达500,000以上,对网络的正常使用有比较严重的影响。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%System32%\com.run 266,240 字节
%System32%\dp1.fne 114,688 字节
%System32%\eAPI.fne 323,584 字节
%System32%\internet.fne 184,320 字节
%System32%\krnln.fnr 1,097,728 字节
%System32%\og.dll 692 字节
%System32%\og.edt 512 字节
%System32%\RegEx.fne 167,936 字节
%System32%\shell.fne 40,960 字节
%System32%\spec.fne 73,728 字节
%System32%\ul.dll 2404 字节
%System32%\XP-C300C3AC.EXE 1,227,891 字节
2、新增注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值: "XP-C300C3AC"
类型: REG_SZ
值: "C:\WINDOWS\system32\XP-C300C3AC.EXE"
描述: 启动项,使指定的路径下的文件随系统的启动而运行。
网络行为:
1、访问指定网站,为网站刷流量:
访问的网站地址:
http://hi.baidu.com/sile***** 刷流量站点
http://www.microsoft.com/en/us/def****.aspx 微软官方主页
http://www.baidu.com/?pn=M08**** 百度主页
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天防线工具中“进程管理”关闭病毒进程:
XP-C300C3AC.EXE
(2)删除病毒文件:
%System32%\com.run
%System32%\dp1.fne
%System32%\eAPI.fne
%System32%\internet.fne
%System32%\krnln.fnr
%System32%\og.dll
%System32%\og.edt
%System32%\RegEx.fne
%System32%\shell.fne
%System32%\spec.fne
%System32%\ul.dll
%System32%\XP-C300C3AC.EXE
(3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run]
注册表值: "XP-C300C3AC"
类型: REG_SZ
值: "C:\WINDOWS\system32\XP-C300C3AC.EXE"
上一篇:没有了 下一篇:没有了
文章评论
共有 0人发表了评论 查看完整内容