flyleaf 发表于 2009-2-24 11:16

Trojan/Win32.Agent.bqqb[Proxy]分析

一、 病毒标签:
病毒名称: Trojan/Win32.Agent.bqqb
病毒类型: 木马
文件 MD5: 38A7AAA9612401114396F7FF4E78F5C0
公开范围: 完全公开
危害等级: 4
文件长度: 36,864 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

二、 病毒描述:
该病毒为代理木马类,病毒运行后,衍生病毒文件到%Windir%目录下,创建注册表病毒服务、通过服务启动病毒文件、衍生的病毒启动之后创建病毒文件“smss.exe”到%Windir%目录下,伪装系统文件,向该病毒写入247296字节数据,动态获取大量API函数地址,判断当前进程是否有病毒smss.exe进程,如有则释放BAT批处理文件删除自身。
smss.exe病毒文件分析:创建互斥量名为“xinduanyou”,确定当前系统版本是否为windows xp,如是则创建病毒驱动设备名“\\.\myprot”,删除%Windir%目录下的winsys.exe、winsys.inf、%System32%\drivers目录下的winyyy.sys病毒文件,并重新衍生这几个病毒文件,释放驱动文件到%System32%\drivers目录下,创建注册表病毒服务,添加注册表启动项,开启iexplore.exe进程连接网络读取信息试图下载恶意病毒文件。

三、 行为分析:
本地行为:
1、通过服务启动病毒文件、伪装系统文件,向该病毒写入247296字节数据,动态获取大量API函数地址,判断当前进程是否有病毒smss.exe进程,如有则释放BAT批处理文件删除自身

2、释放病毒文件到以下目录
%System32%\drivers\winyyy.sys
%Windir%\inf\oem5.inf
%Windir%\inf\oem5.PNF
%Windir%\inf\INFCACHE.1
%Windir%\winsscoo.exe
%Windir%\smss.exe
%Windir%\LastGood\INF\oem5.inf
%Windir%\LastGood\INF\oem5.PNF

3、创建注册表病毒服务、添加启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSSCOM\Description
值: 字符串: "管理基于Windows对象模型 (COM+) 的组件的配置和跟踪。如果禁用此服务,显式依赖此服务的其他服务将无法启动。"
描述:病毒服务描述
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSSCOM\DisplayName
值: 字符串: "COM+ Windows System"
描述:病毒服务名
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSSCOM\ImagePath
值: 字符串: "%Windir%\winsscoo.exe.
描述:病毒启动映像文件地址
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSSCOM\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSSCOM\Type
值: DWORD: 272 (0x110)
描述:病毒启动方式
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt\Description
值: 字符串: "Network Monitor Protocol Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt\DisplayName
值: 字符串: "Network Monitor Protocol Driver"
描述:病毒服务描述及名称
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt\ImagePath
值: 字符串: "system32\DRIVERS\winyyy.sys.
描述:病毒启动映像文件地址

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\ComponentId
值: 字符串: "MS_NDISPROT"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\Description
值: 字符串: "Network Monitor Protocol Driver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\InfPath
值: 字符串: "oem5.inf"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\InfSection
值: 字符串: "Install"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\Ndi\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\Ndi\HelpText
值: 字符串: "Netmon 数据包捕获驱动程序允许 Netmon 用户界面获取来自外部网络的数据包。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\Ndi\Interfaces\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\Ndi\Interfaces\LowerRange
值: 字符串: "ndis5,ndis4,ndis5_prot"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\Ndi\Interfaces\UpperRange
值: 字符串: "noupper"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{024C428B-C474-4AEB-AF1C-95AE32638823}\Ndi\Service
值: 字符串: "MyProt"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt\Linkage\Bind
值: 字符串: "\Device\{EA2759D2-D231-465B-A55F-1D40655C06E0}..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt\Linkage\Export
值: 字符串: "\Device\MyProt_{EA2759D2-D231-465B-A55F-1D40655C06E0}..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt\Linkage\Route
值: 字符串: "{EA2759D2-D231-465B-A55F-1D40655C06E0}"..
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt\Tag
值: DWORD: 14 (0xe)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt\Type
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery\LastGood\INF/oem5.inf
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery\LastGood\INF/oem5.PNF
值: DWORD: 1 (0x1)

4、smss.exe病毒文件分析:创建互斥量名为“xinduanyou”,确定当前系统版本是否为windows xp,如是则创建病毒驱动设备名“\\.\myprot”,删除%Windir%目录下的winsys.exe、winsys.inf、%System32%\drivers目录下的winyyy.sys病毒文件,开启iexplore.exe进程连接网络读取信息
网络行为:
协议:TCP
端口:80
连接域名:http://123.tese123**.info/123.txt
描述:进程连接网络读取信息试图下载恶意病毒文件,该TXT信息为加密信息,信息如下:
P9EpSEMTJPhB31mITJkZfpS=VXHO0VXXDBnpcsgJCtEM6C=bH1tYibNRk=qaFzGoH0Fnvwy9bpARNqrcoXeNqR7UBDXAJEMs=JFh6VOyspTll7wCF65RXhmm0ZLOtqL4eQomHEOUMO7PuDCw=t5iO1DYrgtS3o7ClnlvV6oaPSird9nyDKFBi9LbyGIX

注:    %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   


四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL进程管理工具结束
iexploer.exe、winsscoo.exe、smss.exe进程
(2) 强行删除%WINDOWS%\Down_Temp目录下所有的病毒文件
%System32%\drivers\winyyy.sys
%Windir%\inf\oem5.inf
%Windir%\inf\oem5.PNF
%Windir%\inf\INFCACHE.1
%Windir%\winsscoo.exe
%Windir%\smss.exe
%Windir%\LastGood\INF\oem5.inf
%Windir%\LastGood\INF\oem5.PNF
(3) 删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSSCOM
删除Services键值下的WinSSCOM主键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MyProt
删除Services键值下的MyProt主键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}
删除Network键值下的{4D36E975-E325-11CE-BFC1-08002BE10318}键值HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery\LastGood\INF/oem5.inf
删除LastGood键值下的oem5.inf、oem5.PNF键值
页: [1]
查看完整版本: Trojan/Win32.Agent.bqqb[Proxy]分析