Trojan-Downloader.Win32.Agent.tdf分析
一、 病毒标签:病毒名称: Trojan-Downloader.Win32.Agent.tdf
病毒类型: 木马
文件 MD5: 5F022E9A35D3451AF6F25A7A52B6BCA1
公开范围: 完全公开
危害等级: 4
文件长度: 145,408 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
二、 病毒描述:
该病毒为下载者病毒,病毒运行之后,在注册表中添加SOFTWARE\Microsoft\DataAccess项,保存该十六进制形式的病毒代码入键值adatapx中。保存病毒的名称到键值"db2"中,添加病毒服务,使病毒开机自启动,将Svchost.exe-k netsvcs服务设置为自动以提高权限来删除杀软服务,拷贝自身到%WINDOWS%\System32\config下,病毒运行后删除自身文件,连接网络下载大量病毒文件。
三、 行为分析:
本地行为:
1、创建病毒服务、添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataAccess\adatapx
值: 字符串: "5f022e9a35d3451af6f25a7a52b6bca1.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\Description
值: 字符串: "管理系统资料快照存储服务,该服务不能被删除。"
描述:病毒服务描述
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\DisplayName
值: 字符串: "Protected Storage Manager "
描述:病毒服务名
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\ImagePath
值: 字符串: "%WINDOWS%\system32\svchost.exe-k netsvcs."
描述:提高权限来删除杀软服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\Start
值: DWORD: 2 (0x2)
描述:病毒启动方式为自动
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\Type
值: DWORD: 272 (0x110)
2、以十六进制形式的病毒代码入键值adatapx中。保存病毒的名称到键值"db2"中
3、文件运行后会释放以下文件
%System32%\xunleiBHO_Now5.dll
%System32%\bfh7.dll
%System32%\7fg9.dll
%System32%\9ffe.exe
%WINDOWS%\Downloaded Program Files\fa7ac.dll
%WINDOWS%\Downloaded Program Files\fa7b.dll
%WINDOWS%\Player.exe
%WINDOWS%\033.exe
%WINDOWS%\7fdd.bmp
%WINDOWS%\dfcf.exe
%WINDOWS%\ffb9.txt
%WINDOWS%\39.exe
%Program Files%\Common Files\PushWare\Uninst.exe
%Program Files%\Common Files\PushWare\cpush.dll
4将svchost.exe-k netsvcs服务设置为自动以提高权限来删除杀软服务,调用WinExec函数使用SW_HIDE参数启动病毒使病毒启动后隐藏主窗口
网络行为:
协议:TCP
端口:80
连接服务器名:http://update.c3***.cn/newup4.txt
描述:按照文件列表中的”PlugList”,”Download”下载病毒文件和插件
列表内容为:
Url=666E0199EB5F932286F65FECCBB07159F396FD17D74A4EC5FF47F4749B5B377D
Ver=22
URL=666E0199EB5F932286F65FECCBB07159FA8EADAE5D0FA85C39CD4262B0C1F236F0298CE94FD5FFDF3FDE51C6D1E09744
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)清除IE的临时文件、删除所有脱机内容打勾:
(2) 强行删除病毒下载的大量病毒文件
%System32%\xunleiBHO_Now5.dll
%System32%\bfh7.dll
%System32%\7fg9.dll
%System32%\9ffe.exe
%WINDOWS%\Downloaded Program Files\fa7ac.dll
%WINDOWS%\Downloaded Program Files\fa7b.dll
%WINDOWS%\Player.exe
%WINDOWS%\033.exe
%WINDOWS%\7fdd.bmp
%WINDOWS%\dfcf.exe
%WINDOWS%\ffb9.txt
%WINDOWS%\39.exe
%Program Files%\Common Files\PushWare\Uninst.exe
%Program Files%\Common Files\PushWare\cpush.dll
(3)删除病毒创建的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataAccess\adatapx
删除DataAccess键下所有的键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori
删除ProtectedStori键下所有的键值
页:
[1]