Trojan.Win32.KillAV.alq分析
一、 病毒标签:病毒名称: Trojan.Win32.KillAV.alq
病毒类型: 后门
文件 MD5:AD1F0BDCF6695B07BF05734F03E1C18E
公开范围: 完全公开
危害等级: 4
文件长度: 270,336 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
二、 病毒描述:
该病毒为最新变种灰鸽子病毒,病毒运行之后释放病毒驱动文件"beep.sys"到%System32%\drivers\目录下替换系统的beep.sys文件,获取%temp%临时文件夹目录,释放61140736.tmp临时文件到该目录下,调用MoveFileA将文件移动到%Windir%目录下,重命名为:RemoteAbc.exe,之后将61140736.tmp文件删除,创建病毒服务,以服务方式加载病毒文件,开启svchost.exe进程进行通信,连接到指定的IP地址等待接收病毒作者发送的控制指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%windir%\beep.sys 4,224 字节
%windir%\RemoteAbc.exe 270,336 字节
%windir%\bootstat.dat 2,048 字节
2、创建注册表病毒服务项
注册表值: "Description"
类型: REG_SZ"
值:字串:"cpu con"
描述: 病毒服务描述
注册表值: "DisplayName"
类型: REG_SZ
值:字符串: "cpu con"
描述: 病毒服务名
注册表值: "ImagePath"
类型: REG_SZ
值:字符串: "C:\WINDOWS\RemoteAbc.exe."
描述: 服务映像文件的启动路径
注册表值: "Start"
类型: REG_SZ
值:"DWORD: 2 (0x2)"
描述: 服务的启动方式,手动
注册表值: "Type"
类型: REG_SZ
值:"DWORD: 272 (0x110)"
描述: 服务类型
3、获取%temp%临时文件夹目录,释放61140736.tmp临时文件到该目录下,调用MoveFileA将文件移动到%Windir%目录下,重命名为:RemoteAbc.exe,之后将61140736.tmp文件删除
4、开启svchost.exe进程进行通信,连接到指定的IP地址:218.76.139.***等待接收病毒作者发送的控制指令
网络行为:
协议:TCP
端口:2008
IP地址:218.76.139.***
描述:连接到该IP地址等待接收病毒作者发送的控制指令
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”打开端口管理,找到2008端口的svchost.exe进程将其删除
(2) 强行删除病毒文件
%windir%\beep.sys 4,224 字节
%windir%\RemoteAbc.exe 270,336 字节
%windir%\bootstat.dat 2,048 字节
(3)删除病毒服务注册表项
注册表值: "Cpu ver"
删除Cpu ver键下所有的键值
页:
[1]