Question

Trojan-Downloader.Win32.Small.czl这是什么病毒啊???

这个木马是盗什么用的号啊??我有点迷糊``恳请大虾帮帮小弟 谢谢了

Answer 1

Win32.Troj.PSWLmir.az.106496病毒解决方案

档案编号：CISRT2006024
病毒名称：Trojan-Downloader.Win32.Small.czl（Kaspersky）
病毒别名：Rootkit.CallGate.a（瑞星）、Win32.Troj.PSWLmir.az.106496（金山）
病毒大小：21,145 字节
加壳方式：FSG 2.0
样本MD5：877c749b09446da3afffb01876071624
发现时间：2006.8.21
更新时间：2006.8.21
关联病毒：暂无
传播方式：通过恶意网站传播

技术分析
==========

运行后释放病毒文件到：
%SYSTEM%wdm.exe

释放驱动程序到：
%SYSTEM%driversksld.sys

将QQ安装目录下的TIMPlatform.exe改名为TIMPlatfrom.exe，同时释放自身到QQ目录下，文件名为TIMPlatform.exe

在注册表中添加
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
KernelFaultCheck = C:WINDOWSsystem32wdm.exe
实现随系统启动自动运行

修改HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows下Load的默认值为空

试图窃取传奇游戏的账号、密码等

清除步骤
==========

1. 从“启动”组中删除“腾讯QQ”的快捷方式，暂时禁止其随系统启动自动运行。

2. 删除文件：
%SYSTEM%wdm.exe

3. 删除注册表：
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]下的KernelFaultCheck

4. 重新启动计算机

5. 删除文件：
%SYSTEM%driversksld.sys
QQ目录下TIMPlatform.exe

6. 将QQ目录下TIMPlatfrom.exe文件改名为TIMPlatform.exe

手动删除Rootkit.CallGate.a病毒的方法：
http://www.pcav.cn/Article/fdjq/200608/6750.html

Answer 2

木马