flyleaf 发表于 2009-3-5 13:39

Trojan/Win32.TDSS.eyj[Rootkit]分析

一、 病毒标签:
病毒名称:Trojan/Win32.TDSS.eyj
病毒类型: 后门
文件 MD5: 45433E3C1489F1F64798BC82BFA21864
公开范围: 完全公开
危害等级: 4
文件长度: 23,040 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
二、 病毒描述:
该病毒为后门类病毒,病毒运行之后,复制自身到%Temp%目录下,重命名为:~TM2.tmp,使用Rootkit技术在系统中隐藏自身行为,连接网络下载3个病毒文件(该病毒文件下载的文件可能随时间变化不定),将下载的病毒文件保存到%Temp%目录下,病毒运行完毕后删除自身文件。
病毒会连接网络下载以下文件并运行:
1、http://www.onlineanalytics**.cn/test/ldr.exe
ldr.exe行为分析:病毒运行后删除“proquota.exe”(代理配置工具)文件,并添加注册表项,该文件被删除后,攻击者就可以在没有任何资源限制的情况下处理系统,病毒运行完毕后删除自身。
2、 http://94.142.1**.160/myfiles/95/411/file.exe
经分析该连接地址失效。
3、http://orzsys**.cc/files/20024.exe
20024.exe行为分析:病毒运行后,连接网络下载广告件,该敲诈广告件为杀毒工具广告件,未经过用户许可的情况下主动扫描本地磁盘,并提示检测到大量安全威胁病毒文件,欺骗用户注册,让用户汇款购买该广告件

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Documents and Settings%\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe
%Documents and Settings%\当前所在用户\「开始」菜单\程序\MS AntiSpyware 2009\MS AntiSpyware 2009.lnk%WINDOWS%\39.exe
3、修改注册表、添加注册表启动项及安装升级信息
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableProfileQuota
值: DWORD: 1 (0x1)
描述:限制漫游用户配置文件的大小
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MS AntiSpyware 2009
值: 字符串: ""C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe" /autorun"
描述:添加注册表启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\DisplayName
值: 字符串: "MS AntiSpyware 2009"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\DisplayVersion
值: 字符串: "5.7"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\HelpLink
值: 字符串: "http://www.antispyme**.com/"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\InstallLocation
值: 字符串: "C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\NoModify
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\NoRepair
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\Publisher
值: 字符串: "CrucialSoft Ltd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\UninstallString
值: 字符串: "C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe /uninstall"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\URLInfoAbout
值: 字符串: "http://www.antispyme**.com/"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\URLUpdateInfo
值: 字符串: "http://www.antispyme**.com/"
描述:病毒添加注册表的安装信息及升级地址
网络行为:
协议:TCP
端口:80
连接服务器名:
http://94.142.1**.160/myfiles/95/411/file.exe
http://orzsys**.cc/files/20024.exe
http://www.onlineanalytics**.cn/test/ldr.exe
描述:连接以上地址下载恶意病毒文件及广告件
安装完毕后连接到以下域名记录安装信息:
int.msproreport1**.com/stat.php?func=installrun&id=200025&landing=-1&lang=EN&sub=20024
dl.antivir-storage-ms**.com/get/?pin=200025&lnd=-1&type=scanner
int.ms-asreport1**.com/stat.php?func=install&uid=MjAwMDI1_MjAwMjQ=_MDBGQzQ4NTA=&landing=-1
int.ms-asreport1**.com/stat.php?func=ok
注:    %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%   

四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具打开“进程管理”结束病毒进程,恢复被删除的proquota.exe文件,可以在其它系统上拷贝一份到本地%System32%目录下
(2) 强行删除病毒下载的大量病毒文件
%Documents and Settings%\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe
%Documents and Settings%\当前所在用户\「开始」菜单\程序\MS AntiSpyware 2009\MS AntiSpyware 2009.lnk%WINDOWS%\39.exe
(3)删除病毒创建的启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MS AntiSpyware 2009
删除Run键下MS AntiSpyware 2009键值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7
删除uninstall键下S AntiSpyware 2009 5.7主键值
页: [1]
查看完整版本: Trojan/Win32.TDSS.eyj[Rootkit]分析