柏林童话

病毒名称： Trojan-Downloader.Win32.Small.xwr

病毒类型： 木马

文件 MD5： FEFEC24CF9C0E4D1E26498A09D7ED159

公开范围： 完全公开

危害等级： 3

文件长度： 加壳后9,728 字节 脱壳后41,984字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 – 7.0

加壳类型： UPX 0.89.6 – 1.02 / 1.05 – 1.24

病毒描述：

　　该病毒为下载类木马，病毒运行后，衍生病毒文件DesktopWin.dll到%Windir%

\AppPatch 下；新增注册表项，创建CLSID值，添加启动项，在

ShellServiceObjectDelayLoad键下添加DesktopWin键值，当系统启动时利用

Explorer.exe进程自动加载病毒组件，并查找此键下是否存在JavaView键值，若存在，

便删除；以命令行方式调用rundll32.exe，由rundll32.exe创建%Windir%

\AppPatch\AclLayer.dll文件；当该病毒执行完自身代码后，会结束自身进程，在

%System32%下衍生unxxx.bat，目的是为了删除该病毒文件和自身；连接网络，下载大

量病毒文件并在本机运行。

行为分析：

本地行为：

1、文件运行后会释放以下文件：

　　　　%Windir%\AppPatch\AclLayer.dll 　　　　9,728 字节

　　　　%Windir%\AppPatch\DesktopWin.dll 　　　14,336字节

2、新增注册表：

　　　　

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

　　　　\{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}

　　　　\InProcServer32]

　　　　注册表值: “@ ”

　　　　类型： REG_SZ

　　　　字符串： “C:\WINDOWS\AppPatch\DesktopWin.dll”

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

　　　　\{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}

　　　　\InProcServer32]

　　　　注册表值: “ThreadingModel”

　　　　类型： REG_SZ

　　　　字符串： “Apartment”

　　　　描述：注册CLSID值

　　　　

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

　　　　\Windows\CurrentVersion

　　　　\ShellServiceObjectDelayLoad]

　　　　注册表值: “DesktopWin”

　　　　类型： REG_SZ

　　　　字符串： “{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}”

　　　　描述: 当系统启动时利用Explorer.exe进程自动加载病毒组件

　　　　

3、 在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

　　\ShellServiceObjectDelayLoad]键下查找是否存在JavaView，若存在此项，

　　便删除。

4、 以命令行方式调用rundll32.exe，由rundll32.exe创建

　　%Windir%\AppPatch\AclLayer.dll文件。

5、 当该病毒执行完自身代码后，会结束自身进程，在%System32%下衍生unxxx.bat，

　　目的是为了删除该病毒文件和自身。

网络行为:　

　　　　

　　　　连接网络下载病毒文件，并在本机运行：

　　　　协议：HTTP

　　　　端口：80

　　　　http://60.191.223.**/11.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxxp

　　　　http://60.191.223.**/12.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxyp

　　　　http://60.191.223.**/13.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.said

　　　　http://60.191.223.**/15.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxxz

　　　　http://60.191.223.**/16.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxxz

　　　　http://60.191.223.**/17.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sasu

　　　　http://60.191.223.**/18.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.satb

　　　　http://60.191.223.**/19.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sasz

　　　　http://60.191.223.**/20.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.satc

　　　　http://60.191.223.**/21.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sasu

　　　　http://60.191.223.**/22.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sbqw

　　　　http://60.191.223.**/23.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sata

　　　　http://60.191.239.***/14.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sata

　　　　http://60.191.239.***/24.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.savj

　　　　http://60.191.239.***/25.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.satq

　　　　http://60.191.239.***/26.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sbpv

　　　　vhttp://60.191.239.***/A.gif

　　　　病毒名：Trojan.Win32.Agent.qnz

　　　　http://60.191.239.***/C.gif

　　　　病毒名：Trojan-Downloader.Win32.Small.xwr

　　　　http://60.191.239.***/D.gif

　　　　病毒名：Trojan.Win32.Agent.qnw

　　　　协议：DNS

　　　　端口：53

　　　　http://60.191.223.**/moon.asp

　　　　病毒名：Trojan-Spy.Win32.FtpSend.b

　　　　http://125.83.89.**/1.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxyp

　　　　http://125.83.89.**/2.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxxp

　　　　http://125.83.89.**/4.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sasv

　　　　http://125.83.89.**/5.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxwy

　　　　http://222.216.28.***/6.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sats

　　　　http://222.216.28.***/7.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxxa

　　　　http://222.216.28.***/8.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxxp

　　　　http://222.216.28.***/9.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.rxxz

　　　　http://222.216.28.***/10.gif

　　　　病毒名：Trojan-GameThief.Win32.OnLineGames.sasr

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的

位置。

　　

　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录

　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录

　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录

　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区

　　　　%Documents and Settings% 　　　当前用户文档根目录

　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings

　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp

　　　　%System32% 　　　　　　　　　　系统的 System32文件夹

　　　　

　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32

　　　　windows95/98/me中默认的安装路径是C:\Windows\System

　　　　windowsXP中默认的安装路径是C:\Windows\System32　　

　　　　　　　　

　　　　

清除方案：

1 、使用安天防线2008可彻底清除此病毒(推荐)，

　 　请到安天网站下载： www.antiy.com　

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　 (1)使用ATOOL进程管理结束rundll32.exe进程。

　 (2)删除病毒衍生的文件：

　 　 %Windir%\AppPatch\AclLayer.dll

　 　 %Windir%\AppPatch\DesktopWin.dll

　 　 %Windir%\AppPatch\AcSpecf.dll

　 　 %Windir%\AppPatch\AcXtrnel.bpl

　 　 %Windir%\Downloaded Program Files\ThunderAdvise.dll

　 　 %System32%\aitlasys.exe

　 　 %System32%\akjsfkaq.dll

　 　 %System32%\apsggjba.dll

　 　 %System32%\apzhctde.dll

　 　 %System32%\axmsawin.exe

　 　 %System32%\azcbaime.exe

　 　 %System32%\azwlaime.exe

　 　 %System32%\azzxaime.exe

　 　 %System32%\ciwdaapi.sys

　 　 %System32%\dazfajke.exe

　 　 %System32%\dehxaklo.exe

　 　 %System32%\detxbiua.dll

　 　 %System32%\drivers\eth8023.sys

　 　 %System32%\dtzfajke.sys

　 　 %System32%\erjxakin.sys

　 　 %System32%\fd233ds4f3.dll

　 　 %System32%\fdtxaiua.exe

　 　 %System32%\fstlbsys.sys

　 　 %System32%\fxcbbime.sys

　 　 %System32%\fxwlbime.sys

　 　 %System32%\fxzxbime.sys

　 　 %System32%\fzmsbwin.sys

　 　 %System32%\gajzalit.sys

　 　 %System32%\gpsgajba.sys

　 　 %System32%\gpzhatde.sys

　 　 %System32%\gsdhadwd.sys

　 　 %System32%\hdf453d.dll

　 　 %System32%\ictxaiua.sys

　 　 %System32%\ijsgajba.sys

　 　 %System32%\ijzhatde.sys

　 　 %System32%\isdsasrv.exe

　 　 %System32%\ismhasrv.exe

　 　 %System32%\jkhxaklo.dll

　 　 %System32%\lpmxajkl.exe

　 　 %System32%\lpsgajba.exe

　 　 %System32%\lpzhatde.exe

　 　 %System32%\mkjsakaq.exe

　 　 %System32%\mndhfdwd.dll

　 　 %System32%\mndshsrv.dll

　 　 %System32%\mnmhgsrv.dll

　 　 %System32%\mpwdeapi.dll

　 　 %System32%\ngjxakin.sys

　 　 %System32%\nhmxejkl.dll

　 　 %System32%\onjzalit.exe

　 　 %System32%\ozfyebyt.dll

　 　 %System32%\pldhadwd.exe

　 　 %System32%\pqzfajke.dll

　 　 %System32%\pzwlaime.sys

　 　 %System32%\qbhxaklo.sys

　 　 %System32%\rijxbkin.dll

　 　 %System32%\rnmxajkl.sys

　 　 %System32%\sdjsakaq.sys

　 　 %System32%\simyaapi.exe

　 　 %System32%\siwdaapi.exe

　 　 %System32%\smdsbsrv.sys

　 　 %System32%\smmhbsrv.sys

　 　 %System32%\snfybbyt.sys

　 　 %System32%\spmybapi.sys

　 　 %System32%\spwdbapi.sys

　 　 %System32%\sqjsakaq.sys

　 　 %System32%\stjxakin.exe

　 　 %System32%\tjfyabyt.exe

　 　 %System32%\vlhxaklo.sys

　 　 %System32%\wymxajkl.sys

　 　 %System32%\xzcsbhlp.sys

　 　 %System32%\yxcschlp.dll

　 　 %System32%\zptlcsys.dll

　 　 %System32%\zxcsahlp.exe

　 　 %System32%\zxmsewin.dll

　 　 %System32%\zycbdime.dll

　 　 %System32%\zywlcime.dll

　 　 %System32%\zyzxjime.dll

　 (3)删除病毒添加的注册表项：

　 　 删除[HKEY_LOCAL_MACHINE\SOFTWARE

　 　 \Classes\CLSID]下的

　 　 {DA191DE0-AA86-4ED0-4B87-292A3D48BE99}子键

　 　 删除[HKEY_LOCAL_MACHINE\SOFTWARE

　 　\Microsoft\Windows\CurrentVersion

　 　\ShellServiceObjectDelayLoad]下的DesktopWin值

你可能感兴趣的还有…

• _A00F1C639.exe 病毒查杀 (15)
• Trojan.Win32.Pakes.jsy查杀 (8)
• Trojan.Win32.KillAV.ww查杀 (0)
• Trojan-Downloader.Win32.VB.hnl查杀 (12)
• Trojan-Downloader.Win32.Todon.ae病毒查杀 (5)
• Trojan-Downloader.Win32.Small.zjt查杀 (1)
• Trojan-Downloader.Win32.Cntr.ioq查杀 (2)
• Trojan-Downloader.Win32.Agent.yko查杀 (2)

原创文章如转载，请注明：转载自柏林童话 [ http://www.aappy.com/ ]
本文链接地址：http://www.aappy.com/148