Trojan-Downloader.Win32.Small.dts

编辑:灭亡网互动百科 时间:2020-01-28 22:18:57
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
Trojan-Downloader.Win32.Small.dts病毒木马类,病毒运行后连接网络,衍生病毒文件DesktopWin.dll到%Windir% 。
中文名
Trojan-Downloader.Win32.Small.dts
公开范围
完全公开
病毒类型
木马
危害等级
3

Trojan-Downloader.Win32.Small.dts病毒简介

编辑
病毒名称: Trojan-Downloader.Win32.Small.dts
文件 MD5: CF02F1C7C677C86CE4B76DA518ECFD1D
文件长度: 19,968 字节
感染系统: windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.22
命名对照: 驱逐舰[Trojan.Downloader.12774]
BitDefender [Trojan.Downloader.Small.BRQ]

Trojan-Downloader.Win32.Small.dts病毒描述

编辑
病毒木马类,病毒运行后连接网络,衍生病毒文件DesktopWin.dll到%Windir%
\AppPatch 下;新增注册表项,创建CLSID值,添加启动项,在ShellServiceObjectDelayLoad键下添加DesktopWin键值,当系统启动时利用Explorer.exe进程自动加载病毒组件,并查找此键下是否存在JavaView键值,若存在,便删除;以命令行方式调用rundll32.exe,由rundll32.exe创建%Windir%
\AppPatch\AclLayer.dll文件;当该病毒执行完自身代码后,会结束自身进程,在
%System32%下衍生unxxx.bat,目的是为了删除该病毒文件和自身;连接网络,下载大
病毒文件并在本机运行。下载文件,在下载的文件%WINDOWS%\SoftwareDistribution\Download\d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9中包括广告件,修改注册表。

Trojan-Downloader.Win32.Small.dts行为分析

编辑
1、病毒运行后连接网络,下载文件:
连接网络
IP:
202.102.249.62
202.102.249.134
域名:
soft.baiso.com.cn
ad.baiso.com.cn
down.baiso.com.cn
下载文件:
%WINDOWS%\SoftwareDistribution\Download\d15ab3599021d25ed2a3
4ec2834fe2b6fe0da3d9
%WINDOWS%\system32\0848\baisoa\adout.dat
%WINDOWS%\system32\0848\baisoa\up.dat
%WINDOWS%\system32\0848\baisoa\update\adout.dat
%WINDOWS%\system32\0848\baisoa\update\up.dat
%WINDOWS%\system32\0848\baisoa\update\updatefile.lst
%WINDOWS%\system32\0848\baisoa\updatefile.lst
文件d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9中的广告件:
GENINST.EXE
GENUINST.EXE
INSTALL_FP6_WU.EXE
2、文件运行后会释放以下文件:
%Windir%\AppPatch\AclLayer.dll  9,728 字节
%Windir%\AppPatch\DesktopWin.dll  14,336字节
3、新增注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }
\InProcServer32]
注册表值: "@ "
类型: REG_SZ
字符串: "C:\WINDOWS\AppPatch\DesktopWin.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }
\InProcServer32]
注册表值: "ThreadingModel"
类型: REG_SZ
字符串: "Apartment"
描述:注册CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]
注册表值: "DesktopWin"
类型: REG_SZ
字符串: "{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }"
描述: 当系统启动时利用Explorer.exe进程自动加载病毒组件
4、 在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]键下查找是否存在JavaView,若存在此项,
便删除。
5、 以命令行方式调用rundll32.exe,由rundll32.exe创建
%Windir%\AppPatch\AclLayer.dll文件。
6、 当该病毒执行完自身代码后,会结束自身进程,在%System32%下衍生unxxx.bat,
目的是为了删除该病毒文件和自身。

Trojan-Downloader.Win32.Small.dts网络行为

编辑
连接网络下载病毒文件,并在本机运行:
协议:HTTP
端口:80
http://60.191.223.**/11.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://60.191.223.**/12.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
http://60.191.223.**/13.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.said
http://60.191.223.**/15.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://60.191.223.**/16.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://60.191.223.**/17.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
http://60.191.223.**/18.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.satb
http://60.191.223.**/19.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasz
http://60.191.223.**/20.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.satc
http://60.191.223.**/21.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
http://60.191.223.**/22.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sbqw
http://60.191.223.**/23.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sata
http://60.191.239.***/14.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sata
http://60.191.239.***/24.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.savj
http://60.191.239.***/25.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.satq
http://60.191.239.***/26.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sbpv
vhttp://60.191.239.***/A.gif
病毒名:Trojan.Win32.Agent.qnz
http://60.191.239.***/C.gif
病毒名:Trojan-Downloader.Win32.Small.xwr
http://60.191.239.***/D.gif
病毒名:Trojan.Win32.Agent.qnw
协议:DNS
端口:53
http://60.191.223.**/moon.asp
病毒名:Trojan-Spy.Win32.FtpSend.b
http://125.83.89.**/1.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
http://125.83.89.**/2.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://125.83.89.**/4.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasv
http://125.83.89.**/5.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxwy
http://222.216.28.***/6.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sats
http://222.216.28.***/7.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxa
http://222.216.28.***/8.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://222.216.28.***/9.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://222.216.28.***/10.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasr
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir%     WINDODWS所在目录
%DriveLetter%    逻辑驱动器根目录
%ProgramFiles%      系统程序默认安装目录
%HomeDrive%   当前启动的系统的所在分区
%Documents and Settings%  当前用户文档根目录
%Temp%  \Documents and Settings
\当前用户\Local Settings\Temp
%System32%  系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------

Trojan-Downloader.Win32.Small.dts清除方案

编辑
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2)删除病毒衍生的文件:
%Windir%\AppPatch\AclLayer.dll
%Windir%\AppPatch\DesktopWin.dll
%Windir%\AppPatch\AcSpecf.dll
%Windir%\AppPatch\AcXtrnel.bpl
%Windir%\Downloaded Program Files\ThunderAdvise.dll
%System32%\aitlasys.exe
%System32%\akjsfkaq.dll
%System32%\apsggjba.dll
%System32%\apzhctde.dll
%System32%\axmsawin.exe
%System32%\azcbaime.exe
%System32%\azwlaime.exe
%System32%\azzxaime.exe
%System32%\ciwdaapi.sys
%System32%\dazfajke.exe
%System32%\dehxaklo.exe
%System32%\detxbiua.dll
%System32%\drivers\eth8023.sys
%System32%\dtzfajke.sys
%System32%\erjxakin.sys
%System32%\fd233ds4f3.dll
%System32%\fdtxaiua.exe
%System32%\fstlbsys.sys
%System32%\fxcbbime.sys
%System32%\fxwlbime.sys
%System32%\fxzxbime.sys
%System32%\fzmsbwin.sys
%System32%\gajzalit.sys
%System32%\gpsgajba.sys
%System32%\gpzhatde.sys
%System32%\gsdhadwd.sys
%System32%\hdf453d.dll
%System32%\ictxaiua.sys
%System32%\ijsgajba.sys
%System32%\ijzhatde.sys
%System32%\isdsasrv.exe
%System32%\ismhasrv.exe
%System32%\jkhxaklo.dll
%System32%\lpmxajkl.exe
%System32%\lpsgajba.exe
%System32%\lpzhatde.exe
%System32%\mkjsakaq.exe
%System32%\mndhfdwd.dll
%System32%\mndshsrv.dll
%System32%\mnmhgsrv.dll
%System32%\mpwdeapi.dll
%System32%\ngjxakin.sys
%System32%\nhmxejkl.dll
%System32%\onjzalit.exe
%System32%\ozfyebyt.dll
%System32%\pldhadwd.exe
%System32%\pqzfajke.dll
%System32%\pzwlaime.sys
%System32%\qbhxaklo.sys
%System32%\rijxbkin.dll
%System32%\rnmxajkl.sys
%System32%\sdjsakaq.sys
%System32%\simyaapi.exe
%System32%\siwdaapi.exe
%System32%\smdsbsrv.sys
%System32%\smmhbsrv.sys
%System32%\snfybbyt.sys
%System32%\spmybapi.sys
%System32%\spwdbapi.sys
%System32%\sqjsakaq.sys
%System32%\stjxakin.exe
%System32%\tjfyabyt.exe
%System32%\vlhxaklo.sys
%System32%\wymxajkl.sys
%System32%\xzcsbhlp.sys
%System32%\yxcschlp.dll
%System32%\zptlcsys.dll
%System32%\zxcsahlp.exe
%System32%\zxmsewin.dll
%System32%\zycbdime.dll
%System32%\zywlcime.dll
%System32%\zyzxjime.dll
(3)删除病毒添加的注册表项
删除[HKEY_LOCAL_MACHINE\SOFTWARE
\Classes\CLSID]下的
{ DA191DE0-AA86-4ED0-4B87-292A3D48BE99 }子键
删除[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]下的DesktopWin值
词条标签:
采矿工程 计算机学 科技产品 病毒 互联网产品