转贴：诱骗木马下载Trojan-Downloader.Win32.Wren.i分析报告－安天CERT

一、病毒标签：
 
病毒名称： Trojan-Downloader.Win32.Wren.i
病毒类型： 木马下载
危害等级： 中
文件长度： 47,600 字节
感染系统： windows 98 及以上版本
开发工具： Microsoft Visual C++ 6.0

二、病毒描述：
 
  　该病毒属木马下载类，病毒运行后会复制原病毒体到 "%Temp%\< 原木马名 >.exe ，而后病毒修改注册表文件，添加到启动项中，达到随系统启动的目的。病毒运行后会下载一个病毒相关文件到本地运行，下载的同时会弹出一个对话框，借以达到欺骗用户的目的。如果下载不成功，则每次在系统启动时都会提示用户没有下载完成，询问用户是否继续下载。下载成功便运行该病毒。

三、行为分析：
 
1 、释放病毒体到 "%Temp%\< 原木马名 >.exe

2 、修改注册表文件，添加到启动项，达到随系统启动的目的：
HKEY_LOCAL_METHINE\Software\Microsoft\Windows\CurrentVersion\Run\
键值：字串： Stop-Sign_Install_Recovery = "%Temp%\<trojan file name>.exe

3 、下载病毒相关文件到本地运行，若没有下载成功则会在每次系统启动后提示：
“you have an unfinished download for eacceleration software. Would you like to finish the download now？ ”
若下载成功，则把病毒相关文件下载到 %Temp%\eaccel_setup.exe

注： '%Temp%' 是一个可变的目录，它指向临时文件目录。病毒通过查询操作系统来决定当前 Temp 文件夹的位置。路径一般是 "C:\Documents and Settings\<username>\Local Settings\Temp" ，或者 "C:\WINDOWS\TEMP"。



清除方案:

1、使用安天木马防线2005+可彻底清除此病毒(推荐)。

木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
 
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。


木马防线2005+： 
    木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀
　　采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。 

系统安全管理
　　提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。

实时网络防护
　　全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
 
此贴原出自：http://www.antiy.com/