警惕木马下载器Trojan-Downloader.Win32.Small.xii
该病毒为下载者木马类,病毒运行后调用CreateMutexA函数创建互病毒斥量:_DNT_DOWNLOAD_MUTEX_,目的防止多次运行,在%Windir%目录下创建文件夹:DNT_Temp,作为病毒下载的临时存放目录,调用URLDownloadToFileA函数连接网络将列表下载到本地保存为:list.dnt,读取该文件里的列表内容执行下载病毒操作,当病毒下载完毕后将list.dnt删除,经分析下载的大量病毒为盗号木马类,给用户清理造成及大的不便。
清除方案:
1.
使用安天防线2008可彻底清除此病毒(推荐)。
2.
手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)
使用ATOOL“进程管理”结束该病毒相关进程
(2)
删除病毒下载后衍生的大量文件
1.
%system32%\mfdesy.dll
2.
%system32%\tdffdl.dll
3.
%system32%\zefdst.dll
4.
%system32%\ddserh.dll
5.
%system32%\rfdswc.dll
6.
%system32%\cdwqfs.dll
7.
%system32%\wrqszl.dll
8.
%system32%\gpr1364.exe
9.
%system32%\d32dx9.sys
10.
%system32%\jfrwdh.dll
11.
%system32%\sgrefg.dll
12.
%system32%\zgxfdx.dll
13.
%system32%\fsrgeb.dll
14.
%system32%\zdesfx.dll
15.
%system32%\cedafb.dll
16.
%system32%\jggtsr.dll
17.
%system32%\pedadt.dll
18.
%system32%\tdggrz.dll
19.
%system32%\fmcvxy.dll
20.
%system32%\wyrsdj.dll
21.
%system32%\tfsdmz.dll
22.
%system32%\wipicdec.dll
23.
%system32%\jfdses.dll
24.
%system32%\midimapwd.dll
25.
%system32%\sjhrdh.dll
26.
%system32%\midimapqhx.dll
27.
%system32%\midimapwd.dat
28.
%system32%\midimapgj.dll
29.
%system32%\SysWoWCvC.dll
30.
%system32%\midimapgj.dat
31.
%system32%\midimapjx2.dll
32.
%system32%\midimapqhx.dat
33.
%system32%\midimapjx2.dat
34.
%system32%\SysDaJcHv.dll
35.
%system32%\midimapyt2.dll
36.
%system32%\midimapyt2.dat
37.
%system32%\mtewdh.dll
38.
%WINDOWS%\wipicdec.exe
相关链接参见:http://www.antiy.com/security/report/20080618.htm
