病毒标签：

　　病毒名称： Trojan-Dropper.Win32.Small.apl

　　病毒类型： 木马类

　　文件 MD5： 1D4C07370BABEE309401A73EBAA64F58

　　公开范围： 完全公开

　　危害等级： 3

　　文件长度： 70,207 字节

　　感染系统： Win98以上系统

　　开发工具： Microsoft Visual C++ 6.0

　　加壳工具： 无

　　病毒描述：

　　该病毒是文件结合工具生成的目标文件，为木马的一种，病毒运行后释放病毒文件到系统目录下，命名为temp1.exe,temp2.exe;并执行分离出来的这两个病毒程序。在用户毫无察觉的情况下;修改注册表键值;在后台以temp1.exe开启端口，尝试连接远程控制端主机。一旦连接成功，控制端会对用户电脑进行文件上传下载，键盘信息记录，摄像头抓图，屏幕监控等远程控制。

　　行为分析：

　　1 、病毒运行后，衍生病毒文件：

%system%\temp1.exe (文件 MD5： a5f8018df4209ae978b0907ce1664ff2 )
　　%system%\temp2.exe (文件 MD5： 6350faf65f311c04cb4808ea3cad7ce7 )


　　2 、尝试修改注册表：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load


　　新: 字符串: "C:\WINDOWS\svchost.exe"

　　旧: 字符串: ""

　　3 、分别创建进程%system%\temp2.exe 和%system%\temp1.exe,以temp1.exe主动连接网络，等待病毒控制端连接:

　　协议：TCP

　　地址：211.69.242.**

　　端口：8888

　　对目标主机的操作：

　　文件操作

　　键盘记录

　　屏幕监视

　　进程，服务，注册表操作

　　……

　　4 、此木马是通过文件结合工具将temp1.exe与temp2.exe两个病毒程序进行捆绑，在程序运行后，会分离出这两个病毒程序，并执行分离出来的两个病毒程序。

　　5 、该病毒通过恶意网站、其它病毒或木马下载传播，释放出的病毒可收集用户本地信息，对用户电脑进行远程控制。

　　注： %System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

　　清除方案：

　　1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

　　2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　(1) 使用 安天木马防线 “进程管理”关闭病毒进程：

temp1.exe
　　temp2.exe

　　(2) 删除病毒文件：

%system%\temp1.exe
　　%system%\temp2.exe

　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

　　新: 字符串: "C:\WINDOWS\svchost.exe"

　　旧: 字符串: ""

热门推荐：

QQ猪猪的领养及不能登陆问题解决

无线混和网络高效配置全攻略

【责任编辑 彭凡】