病毒名称： Trojan-Downloader.Win32.Small.ewy
中文名称： 露珠
病毒类型： 木马
文件 MD5： A120521DB73BBF1D0A8BDFB90E2D758B
公开范围： 完全公开
危害等级： 中等
文件长度： 脱壳前14,689 字节，脱壳后71,680 字节
感染系统： Win9X以上系统
开发工具： Microsoft Visual C++ 6.0
加壳工具： FSG 2.0 -> bart/xt

　　该病毒运行后，添加注册表自动运行项与服务项，衍生病毒文件到系统目录下。
病毒的主要行为为关闭对病毒不利的安全程序，并连接远程地址下载病毒体。

1 、衍生下列副本与文件：

　　　　%System32%\progmon.exe
　　　　%System32%\internt.exe
　　　　%System32%\IME\svchost.exe
　　　　　　　　
2 、新建注册表键值：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Internt
　　　　Value: String: "%WINDIR%System32\internt.exe"
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Program file
　　　　RunServices\msvcc25
　　　　Value: String: "%WINDIR%System32\progmon.exe"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+\DisplayName
　　　　Value: String: "Alerter COM+"
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter COM+\ImagePath
　　　　Value: Type: REG_EXPAND_SZ Length: 36 (0x24) bytes
　　　　%WINDIR%System32\IME\svchost.exe.
　　　　
3 、修改下列注册表项：

4 、 连接远程地址：

　　　　60.190.114.*** 80
　
5 、匹配下列窗口标题，如有则关闭窗口：

　　　　Windows 任务管理器
　　　　安全卫士
　　　　Virus
　　　　病毒
　　　　firewall
　　　　Process
　　　　anti
　　　　木马
　　　　优化
　　　　查杀
　　　　down
　　　　卡巴
　　　　超级巡警
　　　　专杀
　　　　扫描

6 、病毒试图通过自身携带的用户名与弱口令列表通过网络传播。

7 、病毒会在移动存储设备中生成自动运行文件，以传播自身。
　　　　　　　
注： %System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的
安装路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1) 使用安天木马防线关闭下列进程：
　　　　　　%System32%\IME\svchost.exe
　 　 (2) 恢复注册表项为旧值并打开隐藏文件选项：
　　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
　　　　　　Windows\CurrentVersion\Explorer\Advanced\
　　　　　　Folder\Hidden\SHOWALL\CheckedValue
　　　　　　New: DWORD: 0 (0)
　　　　　　Old: DWORD: 1 (0x1)
　 　 (3) 删除病毒释放文件：
　　　　　　%System32%\progmon.exe
　　　　　　%System32%\internt.exe
　　　　　　%System32%\IME\svchost.exe

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net