Trojan.Tooso.3

Tooso.3 木馬程式會刪除電腦的檔案和移除登錄檔

Tooso.3 木馬程式可能會透過郵件的方式散播,此木馬程式會執行"小畫家應用程式",刪除電腦的檔案和移除登錄檔,而且會終止安全性相關的程序和停止系統服務。

基本介紹

病毒名稱 Trojan.Tooso.3
病毒別名 Trojan.Tooso.K[symantec]
病毒型態 Trojan
病毒發現日期 2005/08/09
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估

散播程度:低
破壞程度:中

Trojan.Tooso.3 行為描述:

註:在Win95/98/me %System% 預設值為 C:\windows\System

在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32

  • 木馬程式會執行"小畫家應用程式"(mspaint.exe)。

  • 將試圖感染explorer.exe程序。

  • 停止下列名稱的services:

    • AVExch32Service

    AVPCC

    AVUPDService

    Ahnlab task Scheduler

    AlertManger

    ...........

  • 試圖刪除下列名稱檔案:

    • AUPD1ATE.EXE

    AUPDATE.EXE

    Av1synmgr.exe

    Avc1onsol.exe

    Avconsol.exe

    ..............

  • 木馬程式會停止下列services:

    • SharedAccess

    wscsvc

  • 試圖終止下列名稱的程序:

    • ATUPDATER.EXE

    AUPDATE.EXE

    AUTODOWN.EXE

    AUTOTRACE.EXE

    AUTOUPDATE.EXE

    .............

  • 木馬程式試圖從下列URLs下載檔案:

    • [http://]www.21ebuild.com/[REMOVED]/osa4.gif

    [http://]www.51.net/[REMOVED]/osa4.gif

    [http://]www.acsohio.com/[REMOVED]/osa4.gif

    [http://]www.agria.hu/[REMOVED]/osa4.gif

    [http://]www.andi.com.vn/[REMOVED]/osa4.gif

    .................

  • 木馬程式可能會傳送一封郵件附加一個.zip檔案,此zip檔包含foto_bs363.exe檔案。

  • 透過病毒執行後,將駭蟲本身複製到%System%

    • winshost.exe

  • 病毒執行後,在%System%產生

    • wiwshost.exe

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    "winshost.exe" = "%System%\winshost.exe"

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    "winshost.exe" = "%System%\winshost.exe"

  • 修改登錄檔,如此使自動更新失效。

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv

  • 刪除下列登錄檔的值:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Symantec NetDriver Monitor"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"ccApp"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"NAV CfgWiz"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SSC_UserPrompt"

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"McAfee Guardian"

    ...........

  • 刪除下列登錄檔:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Symantec

    HKEY_LOCAL_MACHINE\SOFTWARE\McAfee

    HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab

    HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum

    HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software

    HKEY_LOCAL_MACHINE\SOFTWARE\Zone Labs