flyleaf 发表于 2008-12-8 11:02

Backdoor/Win32.Agent.uzw分析

一、 病毒标签:
病毒名称: Backdoor/Win32.Agent.uzw
病毒类型: 后门
文件 MD5: F828D20FFB075B69E481BA089AE1B26B
公开范围: 完全公开
危害等级: 5
文件长度: 30,208 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
二、 病毒描述:
该病毒为后门类,病毒运行后检测调试器,遍历进程查找指定的进程名称,如果存在调试器或含有指定的进程名称则病毒体退出;结束系统中的指定服务;在临时目录下衍生名称为“dll***.dll”(***为随机数字)的文件;加载衍生的dll文件。衍生自删除批处理文件到临时目录下运行后删除病毒体和批处理自身。衍生的动态链接库文件被加载后,衍生Nskhelper2.sys文件到系统目录下,并创建事件NsDlRk250,检测当前的系统时间,如果年份大于2008则退出执行;否则创建远程线程,连接网络下载病毒文件、添加大量映像劫持、修改host文件,在各个盘根目录下衍生病毒文件和autorun.inf文件、在系统目录下释放其他驱动文件等操作;衍生appwinproc.dll到系统目录,检测标题含有指定字符串的窗口并结束其进程,被感染计算机关机后病毒程序将感染被关闭服务对应的映像文件。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%DriveLetter%\autorun.inf
%Documents and Settings%\Administrator\Local Settings\Temp\dll62.dll
%DriveLetter%\system.dll
%System32%\appwinproc.dll
%System32%\drivers\etc\hosts
%System32%\Nskhelper2.sys
%System32%\NsPass0.sys
%System32%\NsPass1.sys
%System32%\NsPass2.sys
%System32%\NsPass3.sys
%System32%\NsPass4.sys
%HomeDrive%\system.dll
%HomeDrive%\autorun.inf
2、新增注册表

注册表值: "Debugger"
类型: REG_SZ
值: "svchost.exe"
被劫持的文件名称列表如下:
360safe.exe、360safebox.exe、360tray.exe、ACKWIN32.exe、ANTI-TROJAN.exe、anti.exe、antivir.exe、atrack.exe、AUTODOWN.exe、AVCONSOL.exe、AVE32.exe、AVGCTRL.exe、avk.exe、AVKSERV.exe、avp.exe、AVPUPD.exe、AVSCHED32.exe、avsynmgr.exe、AVWIN95.exe、avxonsol.exe、BLACKD.exe、BLACKICE.exe、CCenter.exe、CFIADMIN.exe、CFIAUDIT.exe、CFIND.exe、cfinet.exe、cfinet32.exe、CLAW95.exe、CLAW95CT.exe、CLEANER.exe、CLEANER3.exe、DAVPFW.exe、dbg.exe、debu.exe、DV95.exe、DV95_O.exe、DVP95.exe、ECENGINE.exe、EFINET32.exe、ESAFE.exe、ESPWATCH.exe、explorewclass.exe、F-AGNT95.exe、F-PROT.exe、f-prot95.exe、f-stopw.exe、FINDVIRU.exe、fir.exe、fp-win.exe、FRW.exe、IAMAPP.exe、IAMSERV.exe、IBMASN.exe、IBMAVSP.exe、ice.exe、IceSword.exe、ICLOAD95.exe、ICLOADNT.exe、ICMOON.exe、ICSSUPPNT.exe、iom.exe、iomon98.exe、JED.exe、Kabackreport.exe、Kasmain.exe、kav32.exe、kavstart.exe、kissvc.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRF.exe、KVMonXP.exe、KVPreScan.exe、kwatch.exe、lamapp.exe、lockdown2000.exe、LOOKOUT.exe、luall.exe、LUCOMSERVER.exe、mcafee.exe、microsoft.exe、mon.exe、moniker.exe、MOOLIVE.exe、MPFTRAY.exe、ms.exe、N32ACAN.exe、navapsvc.exe、navapw32.exe、NAVLU32.exe、NAVNT.exe、navrunr.exe、NAVSCHED.exe、NAVW.exe、NAVW32.exe、navwnt.exe、nisserv.exe、nisum.exe、NMAIN.exe、NORMIST.exe、norton.exe、NUPGRADE.exe、NVC95.exe、office.exe、OUTPOST.exe、PADMIN.exe、PAVCL.exe、pcc.exe、PCCClient.exe、pccguide.exe、pcciomon.exe、pccmain.exe、pccwin98.exe、PCFWALLICON.exe、PERSFW.exe、PpPpWallRun.exe、program.exe、prot.exe、pview95.exe、ras.exe、Rav.exe、RAV7.exe、rav7win.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、regedit.exe、rescue32.exe、Rfw.exe、rn.exe、safeboxTray.exe、safeweb.exe、scam32.exe、scan.exe、SCAN32.exe、SCANPM.exe、scon.exe、SCRSCAN.exe、secu.exe、SERV95.exe、sirc32.exe、SMC.exe、smtpsvc.exe、SPHINX.exe、spy.exe、sreng.exe、SWEEP95.exe、symproxysvc.exe、TBSCAN.exe、TCA.exe、TDS2-98.exe、TDS2-NT.exe、Tmntsrv.exe、TMOAgent.exe、tmproxy.exe、tmupdito.exe、TSC.exe、UlibCfg.exe、vavrunr.exe、VET95.exe、VETTRAY.exe、vir.exe、VPC32.exe、VSECOMR.exe、vshwin32.exe、VSSCAN40、vsstat.exe、WEBSCAN.exe、WEBSCANX.exe、webtrap.exe、WFINDV32.exe、windows优化大师.exe、wink.exe、XDelbox.exe、zonealarm.exe
创建服务名为:NsDlRK25、NsPsDk00、NsPsDk01、NsPsDk02、NsPsDk03、NsPsDk04等6个服务。
服务的路径分别为%System32%目录下的对应驱动文件。
3、查找的指定的进程名如下:
OllyDbg.exe、OllyICE.exe、PEditor.exe、LordPE.exe、C32Asm.exe、ImportREC.exe
4、被禁用的服务列表如下:
Schedule、AppMgmt、srservice、W32Time、stisvc
对应的服务名称为:
Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
5、修改host文件,屏蔽部分安全类网站
添加的列表如下:
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
6、在各个驱动器根目录下衍生病毒文件和autorun.inf文件
Autorun.inf文件的数据格式如下:

shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
7、窗口指定字符串列表
金山毒霸,360安全卫士, 江民, 木马, 专杀,下载者,NOD32,卡巴斯基、McAfee、超级巡警、奇虎、杀毒……
8、感染系统文件
被感染的系统文件有:
%System32%\appmgmts.dll
%System32%\schedsvc.dll
%System32%\srsvc.dll
%System32%\w32time.dll
%System32%\wiaservc.dll
感染方式为:
从文件的头部开始写入病毒文件“system.dll”的代码。直到写完为止。
网络行为:
1、连接网络下载病毒列表,并依照病毒列表下载病毒文件并执行
http://www-1****.com/count.txt
文件内容如下:
http://u3.www-s****.com/ly/a4.exe
http://u3. www-s****.com/ly/a1.exe
http://u3.www-s****.com/ly/a3.exe
http://u3.www-s****.com/ly/a10.exe
http://u3.www-s****.com/ly/a40.exe
http://u3.www-s****.com/ly/a25.exe
http://u3.www-s****.com/ly/a13.exe
http://u3.www-s****.com/ly/a36.exe
http://u3.www-s****.com/ly/a41.exe
http://u3.www-s****.com/ly/a9.exe
http://u3.www-s****.com/ly/a49.exe
http://u3.www-s****.com/ly/a23.exe
http://u3.www-s****.com/ly/a32.exe
http://u3.www-s****.com/ly/a42.exe
http://u1.www-s****.com/hm/b12.exe
http://u1.www-s****.com/hm/b17.exe
http://u1.www-s****.com/hm/b13.exe
http://u1.www-s****.com/hm/b35.exe
http://u1.www-s****.com/hm/b15.exe
http://u1.www-s****.com/hm/b7.exe
http://u1.www-s****.com/hm/b21.exe
http://u1.www-s****.com/hm/b44.exe
http://u2.www-s****.com/hm/b3.exe
http://u2.www-s****.com/hm/b10.exe
http://u2.www-s****.com/hm/b5.exe
http://u2.www-s****.com/hm/b8.exe
http://u2.www-s****.com/hm/b2.exe
http://u2.www-s****.com/hm/b4.exe
http://u2.www-s****.com/hm/b11.exe
http://u2.www-s****.com/hm/b1.exe
http://u4.www-s****.com/bm/c1.exe
http://u4.www-s****.com/bm/c2.exe
http://u4.www-s****.com/bm/c3.exe
http://u4.www-s****.com/vip/aaa.exe
http://u4.www-s****.com/vip/cj.exe
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。         Windows2000/NT中默认的安装路径是C:\Winnt\System32,
    windows95/98/me中默认的安装路径是C:\Windows\System,
    windowsXP中默认的安装路径是C:\Windows\System32。
    %Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\      WINDODWS所在目录
    %DriveLetter%\   逻辑驱动器根目录
    %ProgramFiles%\   系统程序默认安装目录
    %HomeDrive% = C:\ 当前启动的系统的所在分区
    %Documents and Settings%\ 当前用户文档根目录
四、 清除方案:
1、断开网络
2、使用安天防线工具中的“服务管理”关闭下列服务
Application Management
Task Scheduler
System Restore Service
Windows Image Acquisition (WIA)
Windows Time
3、重新启动计算机后删除下列文件
%DriveLetter%\autorun.inf
%Documents and Settings%\Administrator\Local Settings\Temp\dll62.dll
%DriveLetter%\system.dll
%System32%\appwinproc.dll
%System32%\drivers\etc\hosts
%System32%\Nskhelper2.sys
%System32%\NsPass0.sys
%System32%\NsPass1.sys
%System32%\NsPass2.sys
%System32%\NsPass3.sys
%System32%\NsPass4.sys
%HomeDrive%\system.dll
%HomeDrive%\autorun.inf
%System32%\appmgmts.dll
%System32%\schedsvc.dll
%System32%\srsvc.dll
%System32%\w32time.dll
%System32%\wiaservc.dll
4、从正常计算机中拷贝下列文件到%System32%目录下
%System32%\appmgmts.dll
%System32%\schedsvc.dll
%System32%\srsvc.dll
%System32%\w32time.dll
%System32%\wiaservc.dll
5、删除所有病毒添加的映像劫持注册表项;

删除病毒添加的服务注册表项

vbas011 发表于 2009-3-17 23:23

支持

看过了。有点想玩问道了。
页: [1]
查看完整版本: Backdoor/Win32.Agent.uzw分析