病毒标签

病毒描述

行为分析-本地行为

1、文件运行后会释放以下文件：

%System32%\bndfxdh.cfg 　　　　144字节
%System32%\bndfxdh.dll 　　　　26,768字节
%System32%\bndfxdh.exe 　　　　15,297字节
%System32%\ghjsw.dll 　　　　　 6,144字节
%System32%\zxdtye.dll 　　　　　6,144字节

2、新增注册表：
　　　　
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
注册表值: "bndfxdh "
类型： REG_SZ
字符串： "C:\WINDOWS\system32\bndfxdh.exe "
描述:添加启动项

3、利用远程线程注入函数CreateRemoteThread试图通过全局挂钩把bndfxdh.dll注入到所有进程中，用来监控系统内当前所有进程。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
注册表值: "DesktopWin"
类型： REG_SZ
字符串： "{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}"
描述: 当系统启动时利用Explorer.exe进程自动加载病毒组件

4、通过函数CreateToolhelp32Snapshot给当前系统内执行的进程拍快照，然后使用Process32First和Process32Next函数遍历快照中记录的进程列表，来判断是否存在AVP.exe进程，存在便通过函数"SetSystemTime"修改系统时间为2003年，月、日不变，以使卡巴斯基过期失效。

5、如果发现有LaTaleClient.exe进程，便结束其进程，当用户再次登陆时，通过读取server.dat来获得用户所在服务器相关信息，通过截获当前用户的键盘和鼠标消息以获取网络游戏“彩虹岛”的账号及密码，发送到病毒作者指定的URL。

6、该病毒在实现完自身代码后，便会结束自身进程，删除自身文件。
　　
注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
　　
　　　　 %Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　 %DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　 %ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　 %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　 %Documents and Settings% 　　　当前用户文档根目录
　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
　　　　 %System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　 Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　 windows95/98/me中默认的安装路径是C:\Windows\System
　　　　 windowsXP中默认的安装路径是C:\Windows\System32

清除方案

1、 使用安天防线可彻底清除此病毒(推荐)，请点击下载。
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1)使用ATOOL卸载注入到相关进程的bndfxdh.dll，具体操作如下：
打开ATOOL→工具菜单→搜索处置DLL项→输入bndfxdh.dll，点击查找→点击卸载，当出现“您是否要卸载含有bndfxdh.dll的被加载运行的所有dll文件时，选“是(Y)即可。
(2)删除病毒文件：
%System32%\bndfxdh.cfg
%System32%\bndfxdh.dll
%System32%\bndfxdh.exe
%System32%\ghjsw.dll
%System32%\zxdtye.dll
(3)删除病毒添加的启动项：
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]键下的bndfxdh值