新功能上线：客户端写博客，随时保存，图片批量贴　 IT北斗星争霸，看看咱博友的真面目！

Trojan-Downloader.Win32.Small.bdb分析

2007-11-04 22:11:35

安天实验室 CERT
一、病毒标签：
病毒名称： Trojan-Downloader.Win32.Small.bdb
病毒类型：木马类
文件 MD5： A26C81438C5920AD57FCF2C36B8AABF2
公开范围：完全公开
危害等级： 3
文件长度： 12,928 字节
感染系统： Windows98以上版本
加壳类型：未知壳

二、病毒描述：

该病毒是木马下载器，其主要的目的是在网络上下载大量的其它病毒运行，在盗取用户信息上起到一个辅助的作用。随着远程下载服务器的木马的更新，此下载器会下载更新后的病毒，这样就像一个更新程序一样，下载到本机的木马失去活性后，又有新的木马下载到本机运行，会给用户的信息构成很大的威胁。该病毒还具有反查杀能力，能够关闭瑞星，江民的主要进程。给用户清除此病毒带来了一定的困难。

三、行为分析：

本地行为:

1、文件运行后会释放以下文件
%Program Files%\Internet Explorer\RAVDHMON.DAT
%Program Files%\Internet Explorer\RAVDHMON.exe

2、新建注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]
注册表值：" RAVDHMON "
类型： REG_SZ
值： " C:\Program Files\Internet Explorer\RAVDHMON.exe "
描述：添加启动项，以达到随机启动的目的

3、RAVDHMON.DAT插入到EXPLORER.EXE进程和其它应用程序进程中

4、关闭瑞星，江民的主要进程，具有反查杀能力

5、该病毒具有病毒下载器功能,连接网络下载大量其它病毒文件

注释：
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。

四、清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或 http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

(2) 强行删除病毒文件
%Program Files%\Internet Explorer\RAVDHMON.DAT
%Program Files%\Internet Explorer\RAVDHMON.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]
注册表值：" RAVDHMON "
类型： REG_SZ
值： " C:\Program Files\Internet Explorer\RAVDHMON.exe "

上一篇应用分析：CIO须注意SOA使用中的五大隐患　　下一篇 “关机能手”自动关闭电脑发起ARP攻击

类别：[IT电脑技术] ┆ 技术圈() ┆ 阅读() ┆ 评论() ┆推送到技术圈 ┆返回首页

相关文章

文章评论

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：

钟仲伟<>CCNA,CCNP资深网络工程师<天心空间>技术成就梦�

Trojan-Downloader.Win32.Small.bdb分析