Trojan/Win32.KeyLogger.bjx[Spy]分析
一、 病毒标签:病毒名称: Trojan/Win32.KeyLogger.bjx
病毒类型: 木马
文件 MD5: 84D4763B3A5A318F150192D1E3819EF4
公开范围: 完全公开
危害等级: 4
文件长度: 257,231 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: 未知壳
二、 病毒描述:
该病毒为后门类,病毒图标为jpg格式文件图标;该文件是由一个图片文件和一个病毒文件用winrar组成的自解压复合文件;病毒运行后衍生病毒文件到%Windir%目录下,衍生图片文件到%Windir%\temp下,用以迷惑用户;修改注册表添加启动项,使病毒文件随机启动;病毒运行后记录当前用户的键盘操作,保存到%Windir%目录下的winhlp32.hlp文件中;连接FTP服务器,将捕获的键盘数据发送到指定的目录。该病毒通过病毒作者向攻击目标的email地址发送邮件的方式进行传播。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Windir%\rstray.exe 135,363 字节
%Windir%\temp\ook.exe 135,363 字节
%Windir%\temp\1.jpg 4,159 字节
%Windir%\winhlp32.hlp 键盘数据记录文件,大小不确定
2、新增注册表
注册表值: "SCISound"
类型: REG_SZ
值: ""C:\WINDOWS\rstray.exe" /lanzateRunOnce"
3、接收到的邮件内容如下:
发件人:[张军]gchenyx@163.com
主题:空
附件:tupian.rar
内容:
您好 我在互联网上看到你们公司发的产品信息
请问向这种的什么价格可以邮购吗 谢谢回复
4、程序自解压注释代码如下:
;下面的注释包含自解压脚本命令
Path=%systemroot%\temp
SavePath
Setup=ook.exe
Presetup=1.jpg
Silent=1
Overwrite=2
5、程序图标和1.jpg图片图像如下图
程序图标 弹出的图片图示
网络行为:
1、连接ftp
IP:125.64.24.**:21
协议:ftp
用户名:1222
密码:11
2、发送数据
在FTP目录下创建如下目录用以记录键盘操作
../iklogs/"系统当前用户名"/logs/ikl_YY-MM-DD_HH-MM-SS.txt
例如:
../iklogs/a/logs/ikl_08-12-29_11-16-44.txt
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 Windows2000/NT中默认的安装路径是C:\Winnt\System32,
windows95/98/me中默认的安装路径是C:\Windows\System,
windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp
当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天防线工具中的“进程管理”关闭病毒进程
rstray.exe
(2) 删除病毒文件
%Windir%\rstray.exe
%Windir%\temp\ook.exe
%Windir%\temp\1.jpg
%Windir%\winhlp32.hlp
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
注册表值: "SCISound"
类型: REG_SZ
值: ""C:\WINDOWS\rstray.exe" /lanzateRunOnce"
[ 本帖最后由 flyleaf 于 2008-12-31 11:58 编辑 ]
页:
[1]