病毒標簽：

　　病毒名稱： Trojan-Dropper.Win32.Small.apl

　　病毒類型： 木馬類

　　文件 MD5： 1D4C07370BABEE309401A73EBAA64F58

　　公開范圍： 完全公開

　　危害等級： 3

　　文件長度： 70,207 字節(jié)

　　感染系統： Win98以上系統

　　開發(fā)工具： Microsoft Visual C++ 6.0

　　加殼工具： 無

　　病毒描述：

　　該病毒是文件結合工具生成的目標文件，為木馬的一種，病毒運行后釋放病毒文件到系統目錄下，命名為temp1.exe,temp2.exe;并執(zhí)行分離出來的這兩個病毒程序。在用戶毫無察覺的情況下;修改注冊表鍵值;在后臺以temp1.exe開啟端口，嘗試連接遠程控制端主機。一旦連接成功，控制端會對用戶電腦進行文件上傳下載，鍵盤信息記錄，攝像頭抓圖，屏幕監(jiān)控等遠程控制。

　　行為分析：

　　1 、病毒運行后，衍生病毒文件：

      %system%\temp1.exe (文件 MD5： a5f8018df4209ae978b0907ce1664ff2 )
　　%system%\temp2.exe (文件 MD5： 6350faf65f311c04cb4808ea3cad7ce7 )

　　2 、嘗試修改注冊表：

      HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

　　新: 字符串: "C:\WINDOWS\svchost.exe"

　　舊: 字符串: ""

　　3 、分別創(chuàng)建進程%system%\temp2.exe 和%system%\temp1.exe,以temp1.exe主動連接網絡，等待病毒控制端連接:

　　協議：TCP

　　地址：211.69.242.**

　　端口：8888

　　對目標主機的操作：

　　文件操作

　　鍵盤記錄

　　屏幕監(jiān)視

　　進程，服務，注冊表操作

　　……

　　4 、此木馬是通過文件結合工具將temp1.exe與temp2.exe兩個病毒程序進行捆綁，在程序運行后，會分離出這兩個病毒程序，并執(zhí)行分離出來的兩個病毒程序。

　　5 、該病毒通過惡意網站、其它病毒或木馬下載傳播，釋放出的病毒可收集用戶本地信息，對用戶電腦進行遠程控制。

　　注： %System%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

　　清除方案：

　　1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )

　　2 、 手工清除請按照行為分析刪除對應文件，恢復相關系統設置。

　　(1) 使用 安天木馬防線 “進程管理”關閉病毒進程：

      temp1.exe
　　temp2.exe

　　(2) 刪除病毒文件：

      %system%\temp1.exe
　　%system%\temp2.exe

　　(3) 恢復病毒修改的注冊表項目，刪除病毒添加的注冊表項：

     HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

　　新: 字符串: "C:\WINDOWS\svchost.exe"

　　舊: 字符串: ""