Trojan/Win32.Agent.acfe [Dropper]分析
一、 病毒标签:病毒名称: Trojan/Win32.Agent.acfe
病毒类型: 盗号木马
文件 MD5: A5AFDCDA7CD029074A913CF08B927CE5
公开范围: 完全公开
危害等级: 4
文件长度: 40,303 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: NsPacK V3.7 -> LiuXingPing *
二、 病毒描述:
该病毒为热血传奇盗号木马,病毒运行后,遍历进程查找“alien32.exe”,如找到则强行结束该进程,拷贝自身文件到%system32%目录下,重命名为:alien32.exe,获取NTDLL.DLL文件时间,将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间,调用API函数创建%system32%目录下病毒进程,病毒运行完后删除自身,alien32.exe病毒文件运行后查找类名为“SHRTMIR”的窗体,衍生DLL病毒文件到%system32%目录下,动态加载病毒DLL文件、获取病毒DLL基础,并调用病毒DLL,枚举内核模块名“ntkrnlpa.exe”并加载该进程,创建病毒驱动文件到%system32%\Drivers目录下,并打开病毒服务,等待加载完毕后、删除病毒驱动文件,添加注册表RUN启动项,遍历进程查找360tray.exe进程、找到后强行结束该进程,遍历进程查找explorer.exe进程、找到后调用内核函数获取该进程句柄、修改进程的访问令牌,申请内存空间、将病毒DLL写到explorer.exe与svchost.exe进程中,并创建一个线程。DLL文件主要行为:查找类名“SAS Window class”的窗体,并向该窗体发送错误消息,查找游戏类名"TFrmMain"名称为"传奇加载"的窗体,找到后调用函数向该窗体发送消息,检测包含病毒预定的文字控件按钮、如匹配成功则删除该窗体的安全检测控件,使游戏安全检测项失效、以到达截取游戏帐户密码目的,通过URL方式发送到作者指定的地址中。
三、 行为分析:
本地行为:
1、遍历进程查找“alien32.exe”,如找到则调用TerminateProcess函数强行结束该进程,获取该NTDLL.DLL文件时间,将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间,查找类名为“SHRTMIR”的窗体,找到之后衍生DLL病毒文件到%system32%目录下,动态加载病毒DLL文件、获取病毒DLL基础,并调用病毒DLL,枚举内核模块名“ntkrnlpa.exe”并加载该进程
2、文件运行后会释放以下文件
%system32%\drivers\aliimz.sys
%system32%\dllcache\alitte32.exe
%system32%\dllcache\ali4a10f.dll
3、添加注册表启动项、创建病毒服务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz
值: 字符串: "alien32.exe"
描述:添加注册表病毒启动病毒
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\ImagePath
值: 字符串:"System32\Drivers\aliimz.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Type
值: DWORD: 1 (0x1)
描述:创建注册表病毒服务项
4、遍历进程查找360tray.exe进程、找到后强行结束该进程,历进程查找explorer.exe进程、找到后调用内核函数获取该进程句柄、修改进程的访问令牌,申请内存空间、利用API函数WriteProcessMemory将病毒DLL写到explorer.exe与svchost.exe进程中,并创建一个线程
5、DLL文件主要行为:调用API函数FindWindowA查找类名“SAS Window class”的窗体,并向该窗体发送错误消息,查找游戏类名"TFrmMain"名称为"传奇加载"的窗体,找到后调用函数向该窗体发送消息,检测包含病毒预定的文字控件按钮、如匹配成功则删除该窗体的安全检测控件,使游戏安全检测项失效、以到达截取游戏帐户密码目的
删除包含以下文件的控件按钮:
提示:为保护帐号安全,\n\n请您验证帐号身份信息。
提示:反外挂测试中,请输入动态密宝。
网络行为:
协议:TCP
端口:80
描述:连接域名发送游戏账户到病毒作者接收地址中,回传格式为:
tid=%s&nid=%s&id=%s&p=%s&a=%s&sv=%s&j1=%s.%s(%d)&j2=%s.%s(%d)&pn=%s&sys=%s&yb=%d&lf=%d&jgs=%d&mv=%d&mb=%d&sgn=%d&zb=%s
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“查找explorer.exe与svchost.exe进程中的病毒模块名“ali4ee25.dll”,找到该病毒模块强行结束
(2) 强行删除病毒文件
%system32%\dllcache\alitte32.exe
%system32%\dllcache\ali4a10f.dll
(3)恢复注册表下项、删除病毒启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz
删除Run键下的nwiz键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz
删除Services键下的aliimz主键值
页:
[1]