Trojan.Tooso.2

特洛依木馬程式又來了,Tooso.2雖然散播程度不高,但用戶仍要小心它的破壞能力

Tooso.2是一隻木馬程式,電腦感染後,將會停止各項系統服務,終止多種的常駐程式,會刪除一些檔案,並且會感染explorer.exe程序,也會從某些網站下載檔案並執行。

基本介紹

病毒名稱 Trojan.Tooso.2
病毒別名 Mitglieder.CN [F-Secure], TROJ_BAGLE.BB [Trend Micro],Trojan.Tooso.J[symantec]
病毒型態 Trojan
病毒發現日期 2005/06/27
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估

散播程度:低
破壞程度:中

Trojan.Tooso.2 行為描述:

註:在Win95/98/me %System% 預設值為 C:\windows\System

在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32

  • 駭蟲會執行"小畫家應用程式"(mspaint.exe),但不會顯示任何圖片。

  • 駭蟲將試圖感染explorer.exe程序。

  • 駭蟲會停止下列名稱的services:

    • AVExch32Service

    AVPCC

    AVUPDService

    Ahnlab task Scheduler

    AlertManger

    .............

  • 駭蟲將試圖刪除下列名稱檔案:

    • AUPD1ATE.EXE

    AUPDATE.EXE

    Av1synmgr.exe

    Avc1onsol.exe

    Avconsol.exe

    .............

  • 駭蟲會停止下列services:

    • SharedAccess

    wscsvc

  • 駭蟲會終止下列名稱的程序:

    • ATUPDATER.EXE

    AUPDATE.EXE

    AUTODOWN.EXE

    AUTOTRACE.EXE

    AUTOUPDATE.EXE

    ...........

  • 駭蟲試圖從下列URLs下載檔案:

    • [http://]www.21ebuild.com/[REMOVED]/osa3.gif

    [http://]www.51.net/[REMOVED]/osa3.gif

    [http://]www.acsohio.com/[REMOVED]/osa3.gif

    [http://]www.agria.hu/[REMOVED]/osa3.gif

    [http://]www.andi.com.vn/[REMOVED]/osa3.gif

    ...............

  • 駭蟲可能會傳送一封郵件附加一個.zip檔案,此zip檔包含f22-103.exe檔案。

  • 透過病毒執行後,將駭蟲本身複製到%System%

    • winshost.exe

  • 病毒執行後,在%System%產生

    • wiwshost.exe

  • 刪除下列登錄檔中的值,使其無法常駐。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    "APVXDWIN"
    "KAV50"
    "McAfee Guardian"
    "NAV CfgWiz"
    "SSC_UserPrompt"
    "Symantec NetDriver Monitor"
    "Zone Labs Client"
    "avg7_cc"
    "avg7_emc"
    "ccApp"

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    "winshost.exe" = "%System%\winshost.exe"