Dropper.Win32木马病毒的清除方法

病毒名称： Trojan-Dropper.Win32.Small.apl 病毒类型：木马类文件 MD5： 1D4C07370BABEE309401A73EBAA64F58 公开范围：完全公开危害等级： 3 文件长度： 70,207 字节感染系统： Win98以上系统开发工具： Microsoft Visual C++ 6.0 加壳工具：无病毒描述：该病毒是文件结合工具生成的目标文件，为木马的一种，病毒运行后释放病毒文件到系统目录下，命名为temp1.exe,temp2.exe;并执行分离出来的这两个病毒程序。在用户毫无察觉的情况下;修改注册表键值;在后台以temp1.exe开启端口，尝试连接远程控制端主机。一旦连接成功，控制端会对用户电脑进行文件上传下载，键盘信息记录，摄像头抓图，屏幕监控等远程控制。行为分析： 1 、病毒运行后，衍生病毒文件： %system% emp1.exe （文件 MD5： a5f8018df4209ae978b0907ce1664ff2 ）
%system% emp2.exe （文件 MD5： 6350faf65f311c04cb4808ea3cad7ce7 ）
2 、尝试修改注册表： HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload
新: 字符串: "C:WINDOWSsvchost.exe" 旧: 字符串: "" 3 、分别创建进程%system% emp2.exe 和%system% emp1.exe,以temp1.exe主动连接网络，等待病毒控制端连接: 协议：TCP 地址：211.69.242.** 端口：8888 对目标主机的操作：文件操作键盘记录屏幕监视进程，服务，注册表操作 …… 4 、此木马是通过文件结合工具将temp1.exe与temp2.exe两个病毒程序进行捆绑，在程序运行后，会分离出这两个病毒程序，并执行分离出来的两个病毒程序。 5 、该病毒通过恶意网站、其它病毒或木马下载传播，释放出的病毒可收集用户本地信息，对用户电脑进行远程控制。注： %System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。清除方案： 1 、使用安天木马防线可彻底清除此病毒（推荐） 2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。（1）使用安天木马防线 “进程管理”关闭病毒进程： temp1.exe
temp2.exe （2）删除病毒文件： %system% emp1.exe
%system% emp2.exe （3）恢复病毒修改的注册表项目，删除病毒添加的注册表项： HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload 新: 字符串: "C:WINDOWSsvchost.exe" 旧: 字符串: "" 媒体报道部分希捷移动硬盘被发现带有木马病毒希捷回应硬盘藏木马病毒事件：木马软件出自中国相关资讯木马病毒 Win32木马

解读新病毒时代部分木马病毒发展趋（03/28/2008 06:27:37）
小心QQ类新木马病毒窃取网游装备（12/14/2007 13:40:21）
木马病毒肆虐互联网促使反病毒厂商（12/09/2007 17:52:00）

用Linux我不怕木马病毒（12/15/2007 08:28:22）
谨防U盘“木马”病毒（12/10/2007 12:33:36）
2008年新增木马病毒将超过100万（11/25/2007 10:35:46）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任