flyleaf 发表于 2009-3-25 15:32

Trojan/Win32.Agent.yhd[Downloader]分析

一、 病毒标签:
病毒名称: Trojan/Win32.Agent.yhd
病毒类型: 木马
文件 MD5: 655CF19B03D3C9051B0A2390D684CE7E
公开范围: 完全公开
危害等级: 4
文件长度: 43,008 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
二、 病毒描述:
该病毒为下载者病毒,病毒运行后,判断自身病毒代码是否运行在“IEXPLORE.EXE”、“dllhost.exe”进程中,如发现不在以上2进程中则创建beep.sys到%System32%\drivers目录下,替换系统的beep文件,并启动beep服务,以达到启动病毒驱动文件目的,如发现处于以上2个进程中调用函数连接网络打开指定的地址读取数据,如果返回数据不是200,则关闭网络函数句柄并退出,如果返回200则表示成功,继续读取数据并下载文件到本地,保存到%Temp%临时文件夹下命名为“~nrjdo.dat”(随机名),复制自身到%System32%目录下、添加注册表启动项,将读取下来的信息保存到%System32%目录下,开启dllhost.exe进程,按配置信息访问网络,因配置信息随时会变化,被感染的用户机器可能会被下载大量恶意病毒文件,截取用户敏感数据。
三、 行为分析:
本地行为:
1、判断自身病毒代码是否运行在“IEXPLORE.EXE”、“dllhost.exe”进程中,如发现不在以上2进程中则创建beep.sys到%System32%\drivers目录下,替换系统的beep文件,并启动beep服务,以达到启动病毒驱动文件目的
2、文件运行后会释放以下文件
%System32%\qin58.exe
%Windir%\ResetTest.txt            
3、添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qin58.exe
值: 字符串: "C:\WINDOWS\system32\qin58.exe"
描述:添加注册表启动项
4、调用函数连接网络打开指定的地址读取数据,如果返回数据不是200,则关闭网络函数句柄并退出,如果返回200则表示成功,继续读取数据并下载文件到本地,将读取下来的信息保存到%System32%目录下,开启dllhost.exe进程,按配置信息访问网络

网络行为:
协议:TCP
端口:80
连接IP地址:121.11.76.58*
描述:开启dllhost.exe进程连接以上IP地址下载病毒文件,按配置信息可能会访问以下域名地址:
http://www.qin58**.cn/down444.txt
http://www.qin58**.cn/count.asp
http://www.qin58**.cn/execount.asp
http://www.qin58**.cn/Being.asp
http://www.qin58**.cn/active.asp
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%   
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)先打开Atool工具结束dllhost.exe进程
(2) 强行删除病毒衍生的文件
%System32%\qin58.exe
%Windir%\ResetTest.txt
(3)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qin58.exe
删除Run键下的qin58.exe键值
页: [1]
查看完整版本: Trojan/Win32.Agent.yhd[Downloader]分析