【IT专家网独家】病毒名称： Trojan-Dropper.Win32.Microjoin.gc

　　病毒类型： 木马

　　文件 MD5： 166CA6114526C98314D115A82FFBE695

　　文件长度： 33,396 字节

　　感染系统： Windows流行版本

　　加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

　　开发工具： Borland Delphi 6.0 - 7.0

　　病毒描述：

　　该病毒属于木马类，可以偷取用户QQ密码、获取用户的IP地址等。衍生病毒文件Wn_Sys8x.Sys到%Program Files%\Internet Explorer\PLUGINS下，若要衍生的病毒文件已经存在，创建另一个文件Wn_Sys8x.Tao作为副本，查找E盘，在根目录下创建病毒文件，使用户双击打开E盘时，运行病毒文件;修改注册表添加HOOK项，以达到随特定程序启动的目的;该病毒通过移动磁盘进行传播。

　　行为分析：

　　1、文件运行后会释放以下文件

　　2、新增注册表

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9963387B-212E-4643-B207-82DAEA0E713D}

　　\inProCserveR32]

　　注册表值："@"

　　类型： REG_SZ

　　值:"C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys"

　　描述: 为病毒文件设置ID号

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

　　ShellExecuteHooks]

　　注册表值："{9963387B-212E-4643-B207-82DAEA0E713D}"

　　类型： REG_SZ

　　值：""

　　描述: 将病毒文件的ID号添加到HOOK项中，使其随其他程序启动。

　　注：%Temp%是一个可变路径，是系统当前用户AAAAA下的C:\Documents and Settings\

      AAAAA\Local Settings\Temp目录。

　　代码分析

　　1、在E盘根目录下衍生病毒文件。

　　2、病毒文件中autorun.inf、Sy_Win7k.Jmp文件均通过调用00404A9C子程序来实现其创建过程，00404A9C子程序代码如下：