Worm/Win32.Downloader.aas分析
一、 病毒标签:病毒名称: Worm/Win32.Downloader.aas
病毒类型: 下载者
文件 MD5: 95C25C1D364CE0A173916595D8025C05
公开范围: 完全公开
危害等级: 4
文件长度: 16,588 字节
感染系统: Windows98以上版本
加壳类型: WinUpack 0.39 final -> By Dwing
二、 病毒描述:
该病毒为下载者木马,病毒运行后,创建名为“u1s2a3f4e5n6o7w”的互斥量,防止病毒多次运行产生冲突,遍历进程查找“winlogon.exe”进程,找到之后打开该进程ID,动态将“sfc_os.dll”加载该进程中,获取该动态链接库基址,删除%System32%\dllcache、%System32%\drivers目录下的Beep.sys文件,衍生6611.tmp文件到%Temp%临时目录下,然后拷贝到%System32%\drivers目录下,该驱动文件主要行为:恢复SSDT躲避部分安全软件的主要防御提示,获取user32.dll文件创建时间将该驱动文件设置为user32.dll文件创建时间,并打开BEEP服务、使用系统服务加载病毒驱动文件,通过遍历进程查找大量安全软件进程如存在则添加注册表映射劫持,遍历进程查找avp.exe、RStray.exe进程,找到发送关闭消息,创建病毒驱动设备名“\\.\PciFtDisk”判断%Windir%目录下的explorer.exe是否有效,将kernel32.dll加载到该进程中,拷贝%System32%目录下的“urlmon.dll”到临时目录下,动态加载临时目录下的“urlmon.dll”文件,调用API函数连接网络读取信息下载大量恶意文件,监视部分安全软件窗体,如发送后则发送关闭消息,衍生svchost.exe、绿化.bat到%Temp%临时目录下,查找\WinRAR\Rar.exe安装路径,遍历查找所有分区的.rar,.zip,.tgz,.cab,.tar文件,找到后调用winrar命令"-ep a"执行 %Temp%\绿化.bat文件,通过内网ipc$共享传播自身。
三、 行为分析:
本地行为:
1、创建名为“u1s2a3f4e5n6o7w”的互斥量,防止病毒多次运行产生冲突,遍历进程查找“winlogon.exe”进程,找到之后打开该进程ID,动态将“sfc_os.dll”加载该进程中,获取该动态链接库基址,删除%System32%\dllcache、%System32%\drivers目录下的Beep.sys文件
2、文件运行后会释放以下文件
%System32%\drivers\Beep.sys(恢复SSDT躲避部分安全软件的主要防御提示)
%Temp%\svchost.exe (通过内网ipc$共享传播自身)
%Temp%\绿化.bat
3、添加注册表映射劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的文件名\Debugger
值: 字符串: "ntsd -d"
360Safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AntiArp.exe、AppSvc32.exe、arswp.exe、AST.exe、autoruns.exe、avcenter.exe、avconsol.exe、avgnt.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、DrvAnti.exe、EGHOST.exe、FileDsty.exe、filemon.exe、FTCleanerShell.exe、FYFireWall.exe、GFRing3.exe、GFUpd.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、Kregex.exe、KRepair.com、KsLoader.exe、KvDetect.exe、KvfwMcl.exe、kvol.exe、kvolself.exe、KVSrvXP.exe、kvupload.exe、kvwsc.exe、KvXP.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、McNASvc.exe、McProxy.exe、Mcshield.exe、mcsysmon.exe、mmqczj.exe、mmsk.exe、MpfSrv.exe、Navapsvc.exe、Navapw32.exe、NAVSetup.exe、nod32.exe、nod32krn.exe、nod32kui.exe、NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、ProcessSafe.exe、procexp.exe、QHSET.exe、QQDoctor.exe、QQDoctorMain.exe、QQKav.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RawCopy.exe、RegClean.exe、regmon.exe、RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、RStray.exe、rstrui.exe、Rtvscan.exe、runiep.exe、safeboxTray.exe、safelive.exe、scan32.exe、SelfUpdate.exe、shcfg32.exe、SmartUp.exe、SREng.exe、SuperKiller.exe、symlcsvc.exe、SysSafe.exe、taskmgr.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、UpLive.exe、USBCleaner.exe、vsstat.exe、webscanx.exe、WoptiClean.exe、zxsweep.exe
描述:被劫持的文件列表
4、获取user32.dll文件创建时间将该驱动文件设置为user32.dll文件创建时间,并打开BEEP服务、使用系统服务加载病毒驱动文件, 遍历进程查找avp.exe、RStray.exe进程,找到发送关闭消息,创建病毒驱动设备名“\\.\PciFtDisk”判断%Windir%目录下的explorer.exe是否有效,将kernel32.dll加载到该进程中,拷贝%System32%目录下的“urlmon.dll”到临时目录下,动态加载临时目录下的“urlmon.dll”文件
5、监视部分安全软件窗体,如发送后则发送关闭消息,查找\WinRAR\Rar.exe安装路径,遍历查找所有分区的.rar,.zip,.tgz,.cab,.tar文件,找到后调用winrar命令"-ep a"执行 %Temp%\绿化.bat文件,通过网络ipc$共享传播自身
网络行为:
协议:TCP
端口:80
连接地址:http://www.hfdy2929**.com/bak.txt
描述:连接该地址读取列表下载大量恶意病毒文件
注: %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“查找结束病毒进程“hun.exe”
(2) 强行删除病毒衍生及下载的大量病毒文件
%System32%\drivers\Beep.sys
%Temp%\svchost.exe
%Temp%\绿化.bat
(3)删除病毒添加的注册表启动项及劫持的安全软件项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的文件名\Debugger
删除Image File Execution Options键下被劫持的文件名
[ 本帖最后由 flyleaf 于 2009-2-27 10:43 编辑 ]
页:
[1]