Trojan-Clicker.Win32.Flyst.d
新客网 XKER.COM 2007-10-30 收藏本文
Trojan-Clicker.Win32.Flyst.d分析
安天实验室 CERT
一、病毒标签:
病毒名称: Trojan-Clicker.Win32.Flyst.d
病毒类型: 木马类
文件 MD5: D9B35CE327B68D7E6B1FA987E03D3CB6
公开范围: 完全公开
危害等级: 3
文件长度: 974,045 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
二、病毒描述:
近来,病毒在以“木马群”的新形式发展以外,还朝着另一个方向发展,那就是病毒不再专一的去盗取某一游戏或即时通迅的帐号与密码,而是先进行广泛的收集,再进行关键字筛选来进行病毒操作。例如本木马就是以gajkonline.exe 进行键盘记录的形式来记录信息,然后匹配关键字进行回传信息的。广告件与木马等类型不再分的那么明显,越来越趋于交叉化发展,例如本木马的另一主要目的就是弹出广告信息,达到宣传的目的。
三、行为分析:
本地行为:
1、 文件运行后会释放以下文件
%Temp%\E_4\eAPI.fne
%Temp%\E_4\HtmlView.fne
%Temp%\E_4\internet.fne
%Temp%\E_4\krnln.fnr
%Temp%\E_4\RegEx.fne
%Temp%\E_4\shell.fne
%Program Files%\Common Files\gajkonline.exe
%Program Files%\Common Files\onlinegame\gajkonline.exe
2、 新建注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
注册表值:"run"
类型: REG_SZ
值: " C:\PROGRA~1\COMMON~1\onlinegame\gajkonline.exe"
描述:添加启动项,以达到随机启动的目的
3、以进程 gajkonline.exe 进行键盘记录
网络行为:
2、连接大量网址,以达到下载文件到本机,从而显示广告的目的,连接网址如下:
http://www.txwork.cn/a.html
http://www.77txt.com/soft/1027.htm
http://www.hehe1234.cn/index.htm
http://www.txwork.cn/html/1981.html
http://www.txwork.cn/html/3600.html
http://www.77txt.com/txt_106056/
http://www.77txt.com/txt_106959/
http://www.moyinge.com
http://www.xunlei591.com/
http://windown.com.cn/pinpai.php?id=219
http://windown.com.cn/pinpai.php?id=510
http://windown.com.cn/pinpai.php?id=708
http://www.3199520.cn
http://www.139767.cn
http://www.jinluandian.com
http://www.a8bt.com
http://www.gulanjing.cn
http://www.91580.cn
http://www.txwork.cn
http://webxunlei.com.cn/pinpai.php?id=479
http://webxunlei.com.cn/pinpai.php?id=350
http://webxunlei.com.cn/pinpai.php?id=322
http://ibaojian.com.cn/pinpai.php?id=149
http://ibaojian.com.cn/pinpai.php?id=207
http://ibaojian.com.cn/pinpai.php?id=1227
http://bailingliren.com.cn/pinpai.php?id=578
http://bailingliren.com.cn/pinpai.php?id=782
http://bailingliren.com.cn/pinpai.php?id=593
http://youxizixun.com.cn/pinpai.php?id=480
http://youxizixun.com.cn/pinpai.php?id=307
http://youxizixun.com.cn/pinpai.php?id=1170
http://cy777.com.cn/pinpai.php?id=355
http://cy777.com.cn/pinpai.php?id=89
http://cy777.com.cn/pinpai.php?id=403
2、主动弹出下列地址的网站:
http://www.efaxcn.com/Info.php?wlb=WLB1
http://pop1.9v.cn/code/showpop.asp?from=27153&typeid=35&plugin=0&adsidRnd=3&furl=http://www.txwork.cn/html/6188.html&PN=c6768b5c08eea51bf71e7523c1d0255d
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程gajkonline.exe
(2) 强行删除病毒文件
%Temp%\E_4\eAPI.fne
%Temp%\E_4\HtmlView.fne
%Temp%\E_4\internet.fne
%Temp%\E_4\krnln.fnr
%Temp%\E_4\RegEx.fne
%Temp%\E_4\shell.fne
%Program Files%\Common Files\gajkonline.exe
%Program Files%\Common Files\onlinegame\gajkonline.exe
(3)删除病毒添加的注册表项
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
注册表值:"run"
类型: REG_SZ
值: " C:\PROGRA~1\COMMON~1\onlinegame\gajkonline.exe"
安天实验室 CERT
一、病毒标签:
病毒名称: Trojan-Clicker.Win32.Flyst.d
病毒类型: 木马类
文件 MD5: D9B35CE327B68D7E6B1FA987E03D3CB6
公开范围: 完全公开
危害等级: 3
文件长度: 974,045 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
二、病毒描述:
近来,病毒在以“木马群”的新形式发展以外,还朝着另一个方向发展,那就是病毒不再专一的去盗取某一游戏或即时通迅的帐号与密码,而是先进行广泛的收集,再进行关键字筛选来进行病毒操作。例如本木马就是以gajkonline.exe 进行键盘记录的形式来记录信息,然后匹配关键字进行回传信息的。广告件与木马等类型不再分的那么明显,越来越趋于交叉化发展,例如本木马的另一主要目的就是弹出广告信息,达到宣传的目的。
三、行为分析:
本地行为:
1、 文件运行后会释放以下文件
%Temp%\E_4\eAPI.fne
%Temp%\E_4\HtmlView.fne
%Temp%\E_4\internet.fne
%Temp%\E_4\krnln.fnr
%Temp%\E_4\RegEx.fne
%Temp%\E_4\shell.fne
%Program Files%\Common Files\gajkonline.exe
%Program Files%\Common Files\onlinegame\gajkonline.exe
2、 新建注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
注册表值:"run"
类型: REG_SZ
值: " C:\PROGRA~1\COMMON~1\onlinegame\gajkonline.exe"
描述:添加启动项,以达到随机启动的目的
3、以进程 gajkonline.exe 进行键盘记录
网络行为:
2、连接大量网址,以达到下载文件到本机,从而显示广告的目的,连接网址如下:
http://www.txwork.cn/a.html
http://www.77txt.com/soft/1027.htm
http://www.hehe1234.cn/index.htm
http://www.txwork.cn/html/1981.html
http://www.txwork.cn/html/3600.html
http://www.77txt.com/txt_106056/
http://www.77txt.com/txt_106959/
http://www.moyinge.com
http://www.xunlei591.com/
http://windown.com.cn/pinpai.php?id=219
http://windown.com.cn/pinpai.php?id=510
http://windown.com.cn/pinpai.php?id=708
http://www.3199520.cn
http://www.139767.cn
http://www.jinluandian.com
http://www.a8bt.com
http://www.gulanjing.cn
http://www.91580.cn
http://www.txwork.cn
http://webxunlei.com.cn/pinpai.php?id=479
http://webxunlei.com.cn/pinpai.php?id=350
http://webxunlei.com.cn/pinpai.php?id=322
http://ibaojian.com.cn/pinpai.php?id=149
http://ibaojian.com.cn/pinpai.php?id=207
http://ibaojian.com.cn/pinpai.php?id=1227
http://bailingliren.com.cn/pinpai.php?id=578
http://bailingliren.com.cn/pinpai.php?id=782
http://bailingliren.com.cn/pinpai.php?id=593
http://youxizixun.com.cn/pinpai.php?id=480
http://youxizixun.com.cn/pinpai.php?id=307
http://youxizixun.com.cn/pinpai.php?id=1170
http://cy777.com.cn/pinpai.php?id=355
http://cy777.com.cn/pinpai.php?id=89
http://cy777.com.cn/pinpai.php?id=403
2、主动弹出下列地址的网站:
http://www.efaxcn.com/Info.php?wlb=WLB1
http://pop1.9v.cn/code/showpop.asp?from=27153&typeid=35&plugin=0&adsidRnd=3&furl=http://www.txwork.cn/html/6188.html&PN=c6768b5c08eea51bf71e7523c1d0255d
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程gajkonline.exe
(2) 强行删除病毒文件
%Temp%\E_4\eAPI.fne
%Temp%\E_4\HtmlView.fne
%Temp%\E_4\internet.fne
%Temp%\E_4\krnln.fnr
%Temp%\E_4\RegEx.fne
%Temp%\E_4\shell.fne
%Program Files%\Common Files\gajkonline.exe
%Program Files%\Common Files\onlinegame\gajkonline.exe
(3)删除病毒添加的注册表项
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
注册表值:"run"
类型: REG_SZ
值: " C:\PROGRA~1\COMMON~1\onlinegame\gajkonline.exe"
上一篇:QQ之盗155648 下一篇:Win32.Nuqel.E
相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
·mDNSResponder.exe
·瑞星杀毒软件2007单机版
·lmgrd.exe
·QQ大盗
·Deepfish
·Win32.Troj.Downloader.ho
·五笔数码输入法
·wupdmgr.exe
·TouchNet Browser
·网上邻居
·QQ蜜
·spoolsv.exe
·9Sy.exe
·clipbrd.exe
·瑞星杀毒软件2007
·瑞星杀毒软件2007单机版
·lmgrd.exe
·QQ大盗
·Deepfish
·Win32.Troj.Downloader.ho
·五笔数码输入法
·wupdmgr.exe
·TouchNet Browser
·网上邻居
·QQ蜜
·spoolsv.exe
·9Sy.exe
·clipbrd.exe
·瑞星杀毒软件2007
专题教程
最新文章
·Trojan/PSW.Nilage.bby
·QQ盗号木马
·Trojan/PSW.QQPass.rfx
·TrojanDownloader.Tiny.cy
·Trojan/PSW.Moshou.agh
·Trojan/PSW.LdPinch.amg
·恶意共享软件
·auto病毒
·AVG
·TrojanProxy.Lager.ie
·Trojan/DiskAutorun.bq
·Trojan/VB.Small.abv
·Trojan/PSW.QQPass.cvd
·TrojanDownloader.Pakes.g
·TrojanDropper.VB.he
·QQ盗号木马
·Trojan/PSW.QQPass.rfx
·TrojanDownloader.Tiny.cy
·Trojan/PSW.Moshou.agh
·Trojan/PSW.LdPinch.amg
·恶意共享软件
·auto病毒
·AVG
·TrojanProxy.Lager.ie
·Trojan/DiskAutorun.bq
·Trojan/VB.Small.abv
·Trojan/PSW.QQPass.cvd
·TrojanDownloader.Pakes.g
·TrojanDropper.VB.he
实用信息推荐