病毒名称: Trojan-Downloader.Win32.Tiny.n
病毒类型: 木马
文件 MD5: a300cc2f561cd61cd2f2fcece63d49fd
公开范围: 完全公开
危害等级: 中
文件长度:2,137 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: FSG 2.0
命名对照:Symentec[Downloader.Trojan]
Mcafee[无]
病毒描述:
该病毒属于木马下载类,病毒运行后,创建相关文件以备下载程序使用,尝试连接网络,开放端口,下载病毒相关文件到本地运行,该病毒对用户有一定危害。
行为分析:
1、病毒运行后,隐藏病毒进程,创建相关文件以备下载程序使用:
%system32%CatRoot2\tmp.edb
%windir%\LastGood\INF\oem5.inf
%windir%\LastGood\INF\oem5.PNF
2、病毒运行后访问网络:
协议:TCP
IP:61.139.126.14
端口:80
随机开放本地1024以上端口,如:1104,1166。
地址:四川省绵阳市电信机房
3、尝试连接网络,下在病毒相关文件到本地运行:
http://***.138soft.com/bintext.exe
4、新建注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery\LastGood\INF/
键值:字串:”oem5.inf”=”DWORD: 1 (0x1)”
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery\LastGood\INF/
键值:字串:“oem5.PNF”=”DWORD: 1 (0x1)”
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案 :
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%system32%CatRoot2\tmp.edb
%windir%\LastGood\INF\oem5.inf
%windir%\LastGood\INF\oem5.PNF
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery
\LastGood\INF/
键值:字串:”oem5.inf”=”DWORD: 1 (0x1)”
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery
\LastGood\INF/
键值:字串:“oem5.PNF”=”DWORD: 1 (0x1)”
我这里有两个文件
C:\WINDOWS\LastGood\INF\
一个oem1.PNF 一个oem1.inf
138soft....?
难道是黑洞吗???
