标题:
AclLayer.dll ,DesktopWin.dll 等下载器病毒清除解决方案
[打印本页]
作者:
faye
时间:
2008-7-27 11:10
标题:
AclLayer.dll ,DesktopWin.dll 等下载器病毒清除解决方案
AclLayer.dll ,DesktopWin.dll 等下载器病毒清除解决方案
病毒标签:
病毒名称: Trojan-Downloader.Win32.Small.xwr
病毒类型: 木马
文件 MD5: FEFEC24CF9C0E4D1E26498A09D7ED159
公开范围: 完全公开
危害等级: 3
文件长度: 加壳后9,728 字节 脱壳后41,984字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
病毒描述:
该病毒为下载类木马,病毒运行后,衍生病毒文件DesktopWin.dll到%Windir%
\AppPatch 下;新增注册表项,创建CLSID值,添加启动项,在
ShellServiceObjectDelayLoad键下添加DesktopWin键值,当系统启动时利用
Explorer.exe进程自动加载病毒组件,并查找此键下是否存在JavaView键值,若存在,
便删除;以命令行方式调用rundll32.exe,由rundll32.exe创建%Windir%
\AppPatch\AclLayer.dll文件;当该病毒执行完自身代码后,会结束自身进程,在
%System32%下衍生unxxx.bat,目的是为了删除该病毒文件和自身;连接网络,下载大
量病毒文件并在本机运行。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%Windir%\AppPatch\AclLayer.dll 9,728 字节
%Windir%\AppPatch\DesktopWin.dll 14,336字节
2、新增注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}
\InProcServer32]
注册表值: "@ "
类型: REG_SZ
字符串: "C:\WINDOWS\AppPatch\DesktopWin.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}
\InProcServer32]
注册表值: "ThreadingModel"
类型: REG_SZ
字符串: "Apartment"
描述:注册CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]
注册表值: "DesktopWin"
类型: REG_SZ
字符串: "{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}"
描述: 当系统启动时利用Explorer.exe进程自动加载病毒组件
3、 在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ShellServiceObjectDelayLoad]键下查找是否存在JavaView,若存在此项,
便删除。
4、 以命令行方式调用rundll32.exe,由rundll32.exe创建
%Windir%\AppPatch\AclLayer.dll文件。
5、 当该病毒执行完自身代码后,会结束自身进程,在%System32%下衍生unxxx.bat,
目的是为了删除该病毒文件和自身。
网络行为:
连接网络下载病毒文件,并在本机运行:
协议:HTTP
端口:80
http://60.191.223.
**/11.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://60.191.223.
**/12.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
http://60.191.223.
**/13.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.said
http://60.191.223.
**/15.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://60.191.223.
**/16.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://60.191.223.
**/17.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
http://60.191.223.
**/18.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.satb
http://60.191.223.
**/19.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasz
http://60.191.223.
**/20.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.satc
http://60.191.223.
**/21.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
http://60.191.223.
**/22.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sbqw
http://60.191.223.
**/23.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sata
http://60.191.239.
***/14.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sata
http://60.191.239.
***/24.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.savj
http://60.191.239.
***/25.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.satq
http://60.191.239.
***/26.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sbpv
v
http://60.191.239.
***/A.gif
病毒名:Trojan.Win32.Agent.qnz
http://60.191.239.
***/C.gif
病毒名:Trojan-Downloader.Win32.Small.xwr
http://60.191.239.
***/D.gif
病毒名:Trojan.Win32.Agent.qnw
协议:DNS
端口:53
http://60.191.223.
**/moon.asp
病毒名:Trojan-Spy.Win32.FtpSend.b
http://125.83.89.
**/1.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
http://125.83.89.
**/2.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://125.83.89.
**/4.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasv
http://125.83.89.
**/5.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxwy
http://222.216.28.
***/6.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sats
http://222.216.28.
***/7.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxa
http://222.216.28.
***/8.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://222.216.28.
***/9.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://222.216.28.
***/10.gif
病毒名:Trojan-GameThief.Win32.OnLineGames.sasr
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载:
www.antiy.com
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理结束rundll32.exe进程。
(2)删除病毒衍生的文件:
%Windir%\AppPatch\AclLayer.dll
%Windir%\AppPatch\DesktopWin.dll
%Windir%\AppPatch\AcSpecf.dll
%Windir%\AppPatch\AcXtrnel.bpl
%Windir%\Downloaded Program Files\ThunderAdvise.dll
%System32%\aitlasys.exe
%System32%\akjsfkaq.dll
%System32%\apsggjba.dll
%System32%\apzhctde.dll
%System32%\axmsawin.exe
%System32%\azcbaime.exe
%System32%\azwlaime.exe
%System32%\azzxaime.exe
%System32%\ciwdaapi.sys
%System32%\dazfajke.exe
%System32%\dehxaklo.exe
%System32%\detxbiua.dll
%System32%\drivers\eth8023.sys
%System32%\dtzfajke.sys
%System32%\erjxakin.sys
%System32%\fd233ds4f3.dll
%System32%\fdtxaiua.exe
%System32%\fstlbsys.sys
%System32%\fxcbbime.sys
%System32%\fxwlbime.sys
%System32%\fxzxbime.sys
%System32%\fzmsbwin.sys
%System32%\gajzalit.sys
%System32%\gpsgajba.sys
%System32%\gpzhatde.sys
%System32%\gsdhadwd.sys
%System32%\hdf453d.dll
%System32%\ictxaiua.sys
%System32%\ijsgajba.sys
%System32%\ijzhatde.sys
%System32%\isdsasrv.exe
%System32%\ismhasrv.exe
%System32%\jkhxaklo.dll
%System32%\lpmxajkl.exe
%System32%\lpsgajba.exe
%System32%\lpzhatde.exe
%System32%\mkjsakaq.exe
%System32%\mndhfdwd.dll
%System32%\mndshsrv.dll
%System32%\mnmhgsrv.dll
%System32%\mpwdeapi.dll
%System32%\ngjxakin.sys
%System32%\nhmxejkl.dll
%System32%\onjzalit.exe
%System32%\ozfyebyt.dll
%System32%\pldhadwd.exe
%System32%\pqzfajke.dll
%System32%\pzwlaime.sys
%System32%\qbhxaklo.sys
%System32%\rijxbkin.dll
%System32%\rnmxajkl.sys
%System32%\sdjsakaq.sys
%System32%\simyaapi.exe
%System32%\siwdaapi.exe
%System32%\smdsbsrv.sys
%System32%\smmhbsrv.sys
%System32%\snfybbyt.sys
%System32%\spmybapi.sys
%System32%\spwdbapi.sys
%System32%\sqjsakaq.sys
%System32%\stjxakin.exe
%System32%\tjfyabyt.exe
%System32%\vlhxaklo.sys
%System32%\wymxajkl.sys
%System32%\xzcsbhlp.sys
%System32%\yxcschlp.dll
%System32%\zptlcsys.dll
%System32%\zxcsahlp.exe
%System32%\zxmsewin.dll
%System32%\zycbdime.dll
%System32%\zywlcime.dll
%System32%\zyzxjime.dll
(3)删除病毒添加的
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2