档案编号:CISRT2006024
病毒名称:Trojan-Downloader.Win32.Small.czl(Kaspersky)
病毒别名:Rootkit.CallGate.a(瑞星)、Win32.Troj.PSWLmir.az.106496(金山)
病毒大小:21,145 字节
加壳方式:FSG 2.0
样本MD5:877c749b09446da3afffb01876071624
发现时间:2006.8.21
更新时间:2006.8.21
关联病毒:暂无
传播方式:通过恶意网站传播
技术分析==========
运行后释放病毒文件到:
%SYSTEM%\wdm.exe
释放驱动程序到:
%SYSTEM%\drivers\ksld.sys
将QQ安装目录下的TIMPlatform.exe改名为TIMPlatfrom.exe,同时释放自身到QQ目录下,文件名为TIMPlatform.exe
在注册表中添加
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
KernelFaultCheck = C:\WINDOWS\system32\wdm.exe
实现随系统启动自动运行
修改HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下Load的默认值为空
试图窃取传奇游戏的账号、密码等
清除步骤==========
1. 从“启动”组中删除“腾讯QQ”的快捷方式,暂时禁止其随系统启动自动运行。
2. 删除文件:
%SYSTEM%\wdm.exe
3. 删除注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的KernelFaultCheck
4. 重新启动计算机
5. 删除文件:
%SYSTEM%\drivers\ksld.sys
QQ目录下TIMPlatform.exe
6. 将QQ目录下TIMPlatfrom.exe文件改名为TIMPlatform.exe
发布时间:2006-08-21 19:36
更新时间:2006-08-21 23:24原帖地址:
http://www.cisrt.org/bbs/viewthread.php?tid=203