Trojan-Dropper.Win32.Small.bgn分析清除

　　病毒名称： Trojan-Dropper.Win32.Small.bgn

　　病毒类型： 木马类

　　文件 MD5： 021B6BF56AF989AE76280F95EB302EB2

　　公开范围： 完全公开

　　危害等级： 5

　　文件长度： 34,816 字节

　　感染系统： Windows98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

　　该病毒属木马类。病毒运行后，复制自身到%System32%目录下，更名为

　　sechost.exe，并在该目录下衍生cifmon.exe、discard.ini、kavshell.sys、

　　ssdt.sys、sychost.exe；修改注册表，使sechost.exe伴随userinit.exe

　　启动以及将病毒文件加入到CMD.EXE的调用扩展中；将“%System32%smss.exe”

　　添加到卡巴斯基反病毒软件的信任区域；为卡巴斯基添加规则为"%System32%

　　sechost.exe"开放最大权限；创建两处服务；调用ychost.exe，绕过金山反病

　　毒软件的主动防御；连接网络向外发送本地机器的相关信息、下载病毒的最新版本

　　到IE临时目录并执行；由于程序自身问题，病毒运行后将不停弹出标题头为

　　123yf6.exe，内容为%System32%smss.exe文件无法找到的对话框；病毒运行完

　　毕后删除自身。

　　本地行为：

　　1、文件运行后会释放以下文件：

　　%System32%sechost.exe 　　　　34,816 字节

　　%System32%cifmon.exe 　　　　 20,480 字节

　　%System32%discard.ini 　　　　26 字节

　　%System32%kavshell.sys 　　　 2,560 字节

　　%System32%ssdt.sys 　　　　　 2,304 字节

　　%System32%sychost.exe 　　　　20,480 字节

　　2、新增注册表：