正在阅读：Trojan.Drop.Geral.NA.1分析与解决方案Trojan.Drop.Geral.NA.1分析与解决方案

　　超级巡警团队监测到恶意程序Trojan.Drop.Geral.NA.1正在传播，该病毒运行后，衍生病毒文件到系统目录下；添加注册表随机启动项以随机引导病毒体。超级巡警建议用户使用超级巡警来防御查杀此类木马。同时提醒广大用户及时更新病毒库，对该程序进行有效查杀。

一、病毒相关分析：

　　病毒标签：

　　病毒名称：Trojan.Drop.Geral.NA.1

　　病毒类型：木马类

　　危害级别：2

　　感染平台：Windows

　　病毒大小：39,944 字节

　　S H A 1  ：582AC22590D9AEBF5199AFF30BF3D52BCA442D5C

　　加壳类型：upx

　　开发工具：delphi

　　病毒行为：

　　1、释放以下驱动到%windir%system32\drivers并加载

　　AsyncMac.sys

　　pcidump.sys

　　2、释放xxxxxxxxxxx.dll（随机名）到%temp%下，安装全局钓子注入系统所有进程

　　3、释放xxxxxxtest.dll（随机名）到%windir%下并使用rundll32.dll运行

　　4、释放extextXXXXXXt.exe（随机名）到%windir%下并运行

　　5、映像劫持各大杀软的主程序，阻止杀毒软件的运行

　　Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,RavStub.exe,RavTask.exe,RegClean.exe,
　　rfwcfg.exe,RfwMain.exe,rfwProxy.exe,rfwsrv.exe,RsAgent.exe,Rsaupd.exe,runiep.exe,
　　safelive.exe,scan32.exe,shcfg32.exe,SmartUp.exe,SREng.exe,symlcsvc.exe,SysSafe.exe,
　　TrojanDetector.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,
　　UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,WoptiClean.exe,
　　Syscheck2.exe,findt25.exe,SREngPS.exe,smartassistant.exe,rfwolusr.exe,xsweep.exe,
　　arvmon.exe,ravt8.exe,killhidepid.exe,kvfw.exe,syscheck.exe,IsHelp.exe,RavStore.exe,
　　ToolsUp.exe,RavCopy.exe,36safebox.exe,safebank.exe,safeboxTray.exe,36hotfix.exe,
　　AntiArp.exe,RsMain.exe,RSTray.exe,ScanFrm.exe,rsnetsvr.exe,AutoGuarder.exe

　　6、将卡巴斯基主程序映像为svchost.exe，并设置svchost.exe的随机启动项

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　数值名称：“”

　　类型：REG_SZ

　　数值数据：C:\windows\system32\svchost.exe

二、解决方案

　　推荐方案：安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。

　　超级巡警下载地址：http://www.sucop.com/2009/0214/4.html

　　手工清除方法：

　　1、结束病毒进程：

　　extextXXXXXXt.exe

　　2、使用超级巡警工具箱卸载以下驱动：

　　AsyncMac.sys

　　pcidump.sys

　　3、删除生成的以下病毒文件，并清空%temp%临时文件：

　　%windir%system32\drivers\AsyncMac.sys

　　%windir%system32\drivers\pcidump.sys

　　%windir%\xxxxxxtest.dll （随机名）

　　%windir%\extextXXXXXXt.exe （随机名）

　　4、使用超级巡警删除svchost启动项。

　　5、使用超级巡警修复被木马映象劫持的所有项。

　　6、重启电脑。

三、安全建议

　　1、立即安装或更新防病毒软件并对内存和硬盘全面扫描（推荐安装超级巡警）。

　　2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。

　　3、使用超级巡警的补丁检查功能，及时安装系统补丁。

　　4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设  置为可写或可控制。

　　5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。

　　6、禁用不必要的服务。

　　7、及时更新常用软件，尤其是聊天工具。

　　8、不要使用IE内核的浏览器。

　　9、不要随便打开不明来历的电子邮件，尤其是邮件附件。

　　10、不要随意下载不安全网站的文件并运行。

　　11、做好系统和重要数据的备份，以便能够进行系统和数据灾难恢复。

　　注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它：

　　%SystemDrive% 　　     　　            系统安装的磁盘分区

　　%SystemRoot% = %Windir% 　　   WINDODWS系统目录

　　%ProgramFiles%　 　 　　　　         应用程序默认安装目录

　　%AppData% 　　     　　                 应用程序数据目录

　　%CommonProgramFiles%　　          公用文件目录

　　%HomePath% 　　     　　              当前活动用户目录

　　%Temp% =%Tmp% 　　     　　     当前活动用户临时目录

　　%DriveLetter% 　　     　　             逻辑驱动器分区

　　%HomeDrive% 　　　     　　          当前用户系统所在分区