病毒标签:
病毒名称: Trojan-Downloader.Win32.Small.hsh
病毒类型: 木马类
文件 MD5: 7F5A731244199C7F29623CC1F106B6C4
公开范围: 完全公开
危害等级: 4
文件长度: 8,848 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
病毒描述:
该病毒属木马类。病毒运行后衍生文件到系统临时目录下,修改注册表,
创建服务,以达到随机运行的目的,病毒在计算机重新启动后将修改
%Windir%\explorer.exe文件,并加载,使任务管理器中出现两个explorer.exe
进程,连接网络下载病毒文件,其中大部分为盗号木马,下载后自动运行,病毒
运行完毕后删除自身。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%System%drivers\phy.sys 1,536 字节
%Documents and Settings%\Administrator
\Local Settings\Temp\tmp1.tmp 8,192 字节
%Documents and Settings%\Administrator
\Local Settings\Temp\tmp2.tmp 8,192 字节
2、修改%Windir%下的explorer.exe文件:
机器重新启动后,tmp1.tmp文件将对explorer.exe文件从起始
位置进行覆盖,其他位置不进行更改,文件大小不发生变化,不
在有版本相关的信息,不在具有原文件的功能。
3、新增注册表:
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\phy]
注册表值: "DisplayName"
类型: REG_SZ
值:"phy"
描述:服务名称
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\phy]
注册表值: "ImagePath"
类型:REG_SZ
值:"\??\C:\WINDOWS\system32\DRIVERS\phy.sys"
描述:服务启动的映像路径
[HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Services\phy]
注册表值: "Start"
类型:DWORD
值:"3"
描述:服务的启动方式
网络行为:
1、连接网络下载病毒文件:
连接网络:
http://58.211.8.**/a1.exe
infected: Backdoor.Win32.Hupigon.aqur
http://58.211.8.**/a10.exe
infected: Trojan-PSW.Win32.OnLineGames.odx
http://58.211.8.**/a11.exe
infected: Trojan-PSW.Win32.OnLineGames.nmc
http://58.211.8.**/a12.exe
infected: Trojan-PSW.Win32.OnLineGames.omm
http://58.211.8.**/a13.exe
infected: Trojan-PSW.Win32.Lmir.bpv
http://58.211.8.**/a14.exe
infected: Trojan-PSW.Win32.OnLineGames.onw
http://58.211.8.**/a15.exe
infected: Trojan.Win32.Vaklik.eb
http://58.211.8.**/a16.exe
infected: Trojan-PSW.Win32.OnLineGames.pef
http://58.211.8.**/a17.exe
infected: Trojan-PSW.Win32.OnLineGames.pem
http://58.211.8.**/a18.exe
infected: Trojan-PSW.Win32.OnLineGames.obo
http://58.211.8.**/a19.exe
infected: Trojan-PSW.Win32.OnLineGames.odx