Trojan-Dropper.Win32.Agent.xqr分析
一、 病毒标签:病毒名称: Trojan-Dropper.Win32.Agent.xqr
病毒类型: 木马
文件 MD5: 6B4BC1698FC61C4D7282E4E622806A9A
公开范围: 完全公开
危害等级: 4
文件长度: 114,699 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
二、 病毒描述:
该病毒为木马类病毒,病毒运行后,查找%Systme32%目录下的lsystipl64.dll(随机病毒名)c.ico、m.ico、s.ico文件将其删除,并创建2个同名文件到该目录下,创建regsvr32.exe进程加载病毒DLL文件,添加注册表启动项,创建VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件到桌面,设置URL地址,url快捷方式文件的图标分别设置为指定的%Systme32%下的c.ico、m.ico、s.ico图标文件,将VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件添加到收藏夹内,将病毒文件lsystipl64.dll注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载病毒文件保存到%Systme32%目录下,重命名为:userinit.exe,病毒DLL文件主要行为:当用户双击盘符时会出现该目录存在威胁的提示并询问用户是否下载,当用户选择“是”则会连接网络下载文件,当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器,严重影响用户对本地磁盘的正常浏览.
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%system32%\userinit.exe
%system32%\lsystipl64.dll (随机病毒名)
%system32%\c.ico
%system32%\m.ico
%system32%\s.ico
%system32%\stus.exe
%Documents and Settings%\a\Local Settings\Temp\P2.tmp
%Documents and Settings%\a\Local Settings\Temp\in3.tmp
%Windir%\k.txt
2、添加注册表项
HKEY_CURRENT_USER\Software\Microsoft\Bind\2008109
值: 字符串: "1"
HKEY_CURRENT_USER\Software\Microsoft\Bind\comment2
值: 字符串: "3xxx3913530"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\aspopg.Bho\CurVer\@
值: 字符串: "ffddffdd"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06717D20-4FAA-48E1-B4BA-E8F80DAF1F06}
\InprocServer32\@
值: 字符串: "%system32%\LSYSTI~1.DLL"
描述:添加病毒启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15C7D7AD-A87A-4C0D-9D8B-637FCD3488EF}\1.0\0
\win32\@
值: 字符串: "%system32%\lsystipl64.dll"
描述:添加病毒启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{06717D20-4FAA-48E1-B4BA-E8F80DAF1F06}\
描述:将病毒DLL文件CLSID值注册为BHO浏览器辅助工具
3创建regsvr32.exe进程加载病毒DLL文件,添加注册表项,创建VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件到桌面,设置URL地址格式:
URL=http://www.goldvip****.com/adv.asp?affid=760,
url快捷方式文件的图标分别设置格式为:
URL=http://www.goldvip****.com/adv.asp?affid=760
IconFile=%system32%\c.ico指定的%Systme32%下的c.ico、m.ico、s.ico
图标文件,将VIP Casinov.url、Cheap Pharmacy Onlinev.url、Search Onlinev.url快捷方式文件添加到收藏夹内
4将病毒文件lsystipl64.dll注入到Explorer.exe进程中,调用函数连接网络打开一个网址并下载一个病毒文件保存到%Systme32%目录下,重命名为:userinit.exe
5、病毒DLL文件主要行为:当用户双击盘符时会出现改目录存在威胁的提示并询问用户是否下载如图:
当用户选择“是”则会连接网络:http://77.244.220.***/ToyalSecure2009.exe下载文件
当用户选择“否”则会弹出一个网页模拟本地磁盘,显示存在的威胁数量并提示用户是否下载扫描器如图:
网络行为:
协议:TCP
端口:80
连接地址:http://theupdatedown***.com/Build.exe
描述:下载病毒文件保存到%Systme32%目录下,重命名为:userinit.exe
协议:TCP
端口:80
连接地址:http://videofreeforo****.com/videosz.php
描述:病毒运行后会强行弹出网页地址
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)先打开Atool工具按创建时间找到病毒衍生的文件,打开任务管理器结束Explorer.exe进程,使用Atool工具强行删除病毒衍生的以下文件
%system32%\userinit.exe
%system32%\lsystipl64.dll (随机病毒名)
%system32%\c.ico
%system32%\m.ico
%system32%\s.ico
%system32%\stus.exe
%Documents and Settings%\a\Local Settings\Temp\P2.tmp
%Documents and Settings%\a\Local Settings\Temp\in3.tmp
%Windir%\k.txt
删除以上病毒文件之后,打开任务管理器加载explorer.exe进程,具体步骤如图:
(3)删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Bind
删除Bind键下的所以键值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\aspopg.Bho
删除aspopg.Bho键下的所以键值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
删除CLSID键下的{06717D20-4FAA-48E1-B4BA-E8F80DAF1F06}键值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15C7D7AD-A87A-4C0D-9D8B-637FCD3488EF}\1.0\0
\win32
删除win32键下的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects
删除Browser Helper Objects键下的 {06717D20-4FAA-48E1-B4BA-E8F80DAF1F06}键值
页:
[1]