flyleaf 发表于 2008-9-18 15:19

Trojan-Downloader.Win32.VB.hnl分析

一、 病毒标签:
病毒名称: Trojan-Downloader.Win32.VB.hnl
病毒类型: 木马
文件 MD5: EAD7D367F00C9D02EF3F8119A083C463
公开范围: 完全公开
危害等级: 4
文件长度: 1,515,119 字节
感染系统: Windows98以上版本
开发工具: VC++ 6.0
加壳类型: 未知壳

二、 病毒描述:
该病毒为木马类,病毒图标为文件夹图标,用以迷惑用户点击;病毒运行后检测当前目录下是否存在和该文件名相同的文件夹,若不存在,病毒程序退出,若存在衍生病毒文件到临时目录,系统目录下,并在启动文件夹下添加病毒文件的快捷方式,使病毒文件能够随系统文件启动;病毒运行完毕后,当有移动磁盘插入感染计算机后,病毒文件将设置所有移动磁盘根目录下的文件夹设置为隐藏属性,并在移动磁盘根目录下建立一个病毒名为隐藏文件夹名字的病毒体备份,对移动磁盘下的二级目录下的文件夹不做处理;修改注册表,添加启动项,使病毒文件随系统启动。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\DD33D3\00C3AC.EXE
%System32%\DE08B0\394d.EDT
%System32%\DE08B0\394d.inf
%System32%\DE08B0\3d30.inf
%System32%\306A39\spec.fne
%System32%\306A39\shell.fne
%System32%\306A39\RegEx.fnr
%System32%\306A39\krnln.fnr
%System32%\306A39\internet.fne
%System32%\306A39\eAPI.fne
%System32%\306A39\dp1.fne
%System32%\306A39\com.run
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\com.run
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\dp1.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\eAPI.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\internet.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\krnln.fnr
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\RegEx.fnr
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\shell.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\spec.fne
%Documents and Settings%%\Administrator\「开始」菜单\程序\启动\   .lnk
2、新增注册表:

注册表值: "00C3AC"
类型: REG_SZ
值: "C:\WINDOWS\system32\DD33D3\00C3AC.EXE"
描述:启动项,使病毒文件随系统启动。

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
Windows2000/NT中默认的安装路径是C:\Winnt\System32,
windows95/98/me中默认的安装路径是C:\Windows\System,
windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
00C3AC.exe(c:\WINDOWS\system32\DD33D3\00C3AC.EXE)
(2) 删除病毒文件
%System32%\DD33D3\00C3AC.EXE
%System32%\DE08B0\394d.EDT
%System32%\DE08B0\394d.inf
%System32%\DE08B0\3d30.inf
%System32%\306A39\spec.fne
%System32%\306A39\shell.fne
%System32%\306A39\RegEx.fnr
%System32%\306A39\krnln.fnr
%System32%\306A39\internet.fne
%System32%\306A39\eAPI.fne
%System32%\306A39\dp1.fne
%System32%\306A39\com.run
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\com.run
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\dp1.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\eAPI.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\internet.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\krnln.fnr
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\RegEx.fnr
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\shell.fne
%Documents and Settings%\Administrator\Local Settings\Temp\E_4\spec.fne
%Documents and Settings%%\Administrator\「开始」菜单\程序\启动\   .lnk
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

注册表值: "00C3AC"
类型: REG_SZ
值: "C:\WINDOWS\system32\DD33D3\00C3AC.EXE"
页: [1]
查看完整版本: Trojan-Downloader.Win32.VB.hnl分析