木马下载器
中 文 名:“TrojanDownloader.Small”变种BLL
病毒长度:266713字节
病毒类型:木马下载器
危害等级:★★
影响平台:Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.Small.bll“TrojanDownloader.Small”变种bll是一个木马下载器,开启特定的IRC通道,盗取网上银行、在线交易用户输入的帐户和密码。“TrojanDownloader.Small”变种bll运行后,自我复制到系统目录下,并在系统目录下释放一个黑客工具,文件名是XXX32.dll。修改注册表,实现开机自启。在已开启的窗口搜索与输入网上银行、在线交易用户帐户密码相关的主题,一经发现便开始记录键击,盗取用户机密信息。开启TCP 1051端口,连接指定的IRC服务器,侦听黑客指令,开启或终止某些特定的进程和服务,删除或修改文件夹,对指定目标执行DDoS攻击,利用被感染的计算机转发垃圾邮件等。修改hosts文件,阻止用户对某些常见安全网站的访问。另外,“TrojanDownloader.Small”变种bll还可以自升级。
Kent.Chan
病毒名称:trojandownloader.small
病毒名称:trojandownloader.small
其它名称:
病毒属性:特洛伊木马 危害性:低危害 流行程度:低
具体介绍:
trojandownloader.small病毒有很多种变体,可以参照以下方法进行处理:
1、 使用KILL最新病毒库版本进行检测和清除。
2、 手工清除方法,可以从任务管理器和资源管理器中删除病毒的进程和程序,以下是其中一种变体的示例:
从任务管理器中关闭以下进程:6432ormshh.exe
从资源管理器中删除以下文件:6432ormshh.exe
3、 清空IE缓存,如果清空后还能查到,设置文件夹属性,显示所有文件和显示系统文件夹内容,按照杀毒软件提示的那个路径删除那个病毒文件即可!
4、 也可以参照以下方法处理:
(1)如果杀毒软件报告此木马是在 %windir%\Downloaded Program Files 目录下的情况。注意其中的 %windir% 代表的是您Windows的安装目录,比如:如果您使用的是Windows98/Me并且安装在C盘则此目录应该是C:\Windows\ Downloaded Program Files;如果是Windows2000/XP/20003并且安装在D盘,则目录应该是D:\WINNT\Downloaded Program Files。如果是这种情况请按下面的方法做:
依次打开IE的 工具/Internet选项/“Internet临时文件”处的“设置”/查看对象;
在打开的列表中查找一个“程序文件”是“MultiDist”的项目,如果找不到就不用继续了,请参考其他情况下的处理办法;如果找到它则在它名子上点右键,接着在弹出的菜单中点“删除”;
重新启动计算机;
依次打开 开始/运行 ,输入 cmd 后确定(这是在NT/2000/XP/2003下,9x/Me下请输入 command),进入到命令行模式,然后用DOS命令进入到 %windir%\Downloaded Program Files 目录下,找到 MulDist.ocx 文件后用del命令删除它。这里需要提醒一下,如果在此目录中找不到这个文件请进入到当前目录下的各个子目录中找找,找到后删除。
这样此木马就清除掉了,不过如果杀毒软件报告木马不是在 %windir%\Downloaded Program Files 目录下而是在 “系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\...” 目录下(如果您的win2000/nt/xp安装在C盘则就是 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5)请使用下面的第2种方法清除它:
(2)操作系统使用的是Windows2000/XP/2003,并且杀毒软件报告此木马是在 系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX 目录下的情况。注意其中的“系统目录”代表的是您Windows2000/XP/2003安装的盘符,比如:如果您的win2000/nt/xp安装在C 盘则就是 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX ,并且Content.IE5后面的XXXX代表的是不确定的子目录,不同的系统下情况都会不同,这可以根据杀毒软件的具体提示来确定,在记下这个目录及文件名后请按下面的方法做:
依次打开 开始/运行 ,输入 cmd 后确定(这是在NT/2000/XP/2003下),进入到命令行模式;
在命令行模式下进入到这个 系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX 目录中,找到杀毒软件提示的那个文件,找到后直接用del命令删除它就行了。
(3)木马不是在上面任何一种目录中的情况:
这个方法最简单,用资源管理器找到文件后直接删除它就行了,而不用在意杀毒软件的“解开再同清除”的提示,直接删除相应的cab或ocx文件都可以。