h24arb 2008-7-8 10:03
转帖:警惕下载者木马Trojan-Downloader.Win32.Small.xwr
[align=center][align=center][b][font=宋体][size=15pt]警惕下载者木马[/size][/font][/b][b][size=15pt]Trojan-Downloader.Win32.Small.xwr[/size][/b][/align][/align]Trojan-Downloader.Win32.Small.xwr[font=宋体]病毒为下载类木马,病毒运行后,衍生病毒文件[/font]DesktopWin.dll[font=宋体]到[/font]%Windir%\AppPatch[font=宋体]下[/font][font=宋体];新增注册表项,创建[/font]CLSID[font=宋体]值,添加启动项,在[/font]ShellServiceObjectDelayLoad[font=宋体]键下添加[/font]DesktopWin[font=宋体]键值,[/font][font=宋体]当系统启动时利用[/font]Explorer.exe[font=宋体]进程自动加载病毒组件,并查找此键下是否存在[/font]JavaView[font=宋体]键值,若存在,便删除;以命令行方式调用[/font]rundll32.exe[font=宋体],由[/font]rundll32.exe[font=宋体]创建[/font]%Windir%\AppPatch\AclLayer.dll[font=宋体]文件;当该病毒执行完自身代码后,会结束自身进程,在[/font]%System32%[font=宋体]下衍生[/font]unxxx.bat[font=宋体],目的是为了删除该病毒文件和自身;连接网络,下载大量病毒文件并在本机运行。[/font][color=black] [/color]
[b][color=black][font=宋体]清除方案:[/font][/color][/b][b][color=black][/color][/b]
[b][color=black]1[/color][/b][b][color=black][font=宋体].[/font][/color][/b][b][font=宋体]使用安天防线[/font][/b][b][font=宋体][font=Calibri]2008[/font][/font][/b][b][font=宋体]可彻底清除此病毒[/font][/b][b][font=宋体][font=Calibri]([/font][/font][/b][b][font=宋体]推荐[/font][/b][b][font=宋体][font=Calibri])[/font][/font][/b][b][font=宋体]。[/font][/b][font=宋体][/font]
[font=宋体][font=Calibri]2.[/font]
[/font][font=宋体]手工清除请按照行为分析删除对应文件,恢复相关系统设置。[/font][font=宋体][/font]
[size=9.0pt][font=Calibri] [/font][/size][font=宋体][size=9.0pt]([/size][/font][size=9.0pt][font=Calibri]1[/font][/size][font=宋体][size=9.0pt])[/size][/font][font=宋体]使用[/font][font=Calibri]ATOOL[/font][font=宋体]进程管理结束[/font][font=Calibri]rundll32.exe[/font][font=宋体]进程[/font][size=9pt][/size]
[size=9.0pt][font=Calibri] [/font][/size][font=宋体][size=9.0pt]([/size][/font][size=9.0pt][font=Calibri]2[/font][/size][font=宋体][size=9.0pt])删除病毒衍生的文件[/size][/font][size=9.0pt][/size]
[font=Calibri] [/font]
[font=宋体]相关链接参见:[/font][url=http://www.antiy.com/security/report/20080707b.htm][font=Calibri][color=#0000ff]http://www.antiy.com/security/report/20080707b.htm[/color][/font][/url]