flyleaf 发表于 2009-5-8 11:00

Trojan/Win32.Agent.aofn[Dropper]分析

一、 病毒标签:
病毒名称: Trojan/Win32.Agent.aofn
病毒类型: 木马
文件 MD5:709B712A0E289F22D9160B94636D58D9
公开范围: 完全公开
危害等级: 4
文件长度: 36,880 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

二、 病毒描述:
          该病毒为木马类,该病毒图标为windows系统垃圾回收站图标,并且有完成版本信息,其公司名为“360安全卫士”;病毒完全运行后,首先在%system32%目录下复制自身、释放注册表导入文件添加映像劫持,其目的躲避杀软主动防御;在%Windir%\Cursors下释放taskmgr.exe,并运行,用以迷惑用户误认为任务管理器进程,并分别在%Windir%\Cursors和%Windir%\system32\wbem目录进行本体备份;通过修改注册表添加病毒启动项和服务项,其中服务项名为“Microsoft Vista”,发行商为“360安全卫士”,并在描述中用“系统登陆初始界面,终止该服务将导致系统不能正常登陆”字样迷惑用户,使其不敢轻易终止该服务项;该病毒还通过修改注册表,使其在开关机时达到病毒自动运行的目的;病毒完全运行后删除自身;连接网络下载病毒文件;下载病毒中包含木马下载者类病毒会下载大量病毒,甚至导致计算机死机。
   
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Windir%\Cursors\beifen.exe
%Windir%\Cursors\taskmgr.exe
%System32%\(病毒名称,任意。).exe
%System32%\regedit.reg
%System32%\wbem\fonts.exe

2、通过运行regedit.reg,导入映像劫持项。

"Debugger"="svchost.exe"

safeboxTray.exe、ekrn.exe、egui.exe、360safebox.exe、360tray.exe、ACKWIN32.exe、ANTI-TROJAN.exe、anti.exe、antivir.exe、APVXDWIN.exe、atrack.exe、AVCONSOL.exe、AVE32.exe、AVGCTRL.exe、avk.exe、AVKSERV.exe、avp.exe、avp32.exe、AVPCC.exe、avpdos32.exe、AVPM.exe、AVPMON.exe、AVPNT.exe、AVPTC32.exe、AVPUPD.exe、AVSCHED32.exe、avsynmgr.exe、AVWIN95.exe、avxonsol.exe、bdagent.exe、BLACKD.exe、BLACKICE.exe、CCenter.exe、CFIADMIN.exe、CFIAUDIT.exe、CFIND.exe、cfinet.exe、cfinet32.exe、CLAW95.exe、CLAW95CT.exe、CLEANER.exe、CLEANER3.exe、DAVPFW.exe、debu.exe、DV95.exe、DV95_O.exe、DVP95.exe、ECENGINE.exe、EFINET32.exe、egui.exe、ESAFE.exe、ESPWATCH.exe、explorewclass.exe、F-AGNT95.exe、F-PROT.exe、f-prot95.exe、F-STOPW.exe、FINDVIRU.exe、fir.exe、fp-win.exe、IAMAPP.exe、IAMSERV.exe、IBMASN.exe、IBMAVSP.exe、ice.exe、IceSword.exe、ICLOAD95.exe、ICLOADNT.exe、ICMOON.exe、ICSSUPPNT.exe、iom.exe、iomon98.exe、JED.exe、Kabackreport.exe、Kasmain.exe、kav32.exe、kavstart.exe、kissvc.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRF.exe、KVMonXP.exe、KVPreScan.exe、kwatch.exe、lamapp.exe、lockdown2000.exe、LOOKOUT.exe、luall.exe、LUCOMSERVER.exe、mcafee.exe、mon.exe、moniker.exe、MOOLIVE.exe、MPFTRAY.exe、N32ACAN.exe、navapsvc.exe、navapw32.exe、NAVLU32.exe、NAVNT.exe、navrunr.exe、NAVSCHED.exe、NAVW.exe、NAVW32.exe、navwnt.exe、nisserv.exe、nisum.exe、NMAIN.exe、NORMIST.exe、norton.exe、NUPGRADE.exe、NVC95.exe、office.exe、OUTPOST.exe、PADMIN.exe、PAVCL.exe、pcc.exe、PCCClient.exe、pccguide.exe、pcciomon.exe、pccmain.exe、pccwin98.exe、PCFWALLICON.exe、PERSFW.exe、pop3trap.exe、PpPpWallRun.exe、program.exe、prot.exe、pview95.exe、ras.exe、RAV7.exe、rav7win.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、rescue32.exe、Rfw.exe、rn.exe、safeboxTray.exe、safeweb.exe、scam32.exe、scan.exe、SCAN32.exe、SCANPM.exe、scon.exe、SCRSCAN.exe、seccenter.exe、secu.exe、SERV95.exe、sirc32.exe、SMC.exe、smtpsvc.exe、SPHINX.exe、spy.exe、SWEEP95.exe、symproxysvc.exe、TBSCAN.exe、TCA.exe、Tmntsrv.exe、TMOAgent.exe、tmproxy.exe、tmupdito.exe、TSC.exe、UlibCfg.exe、vavrunr.exe、VET95.exe、VETTRAY.exe、vir.exe、VPC32.exe、VSECOMR.exe、vshwin32.exe、VSSCAN40、vsstat.exe、WEBSCAN.exe、WEBSCANX.exe、webtrap.exe、WFINDV32.exe、windows优化大师.exe、wink.exe、zonealarm.exe、_AVP32.exe、_AVPCC.exe、_AVPM.exe

3、修改注册表,添加启动项、服务、开机运行。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_VISTA\0000\Control
项:ActiveService
键值: “Microsoft Vista”
描述:设置服务项名称

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista
项:Description
键值: "系统登陆初始界面,终止该服务将导致系统不能正常登陆"   
描述:设置服务描述

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista
项: ImagePath
类型: REG_EXPAND_SZ
键值:C:\WINDOWS\Cursors\taskmgr.exe
描述:设置服务映像文件路径。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
项:StormCodec_Helper
键值: "C:\WINDOWS\system32\(病毒运行时名字,任意).exe
描述:设置病毒自启动项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Shutdown\0\0
项:Script
键值: "C:\WINDOWS\System32\(病毒运行时名字,任意).exe"
描述:设置病毒启动项。

网络行为
1、并自动连接网络。后台开启IE
Ip地址:58.215.79.***
端口:80
协议:http
下载地址:
http://58.215.79.***:88/6.exe
http://58.215.79.***:8080/yang.exe
http://58.215.79.***:88/cpa.exe
http://www.rtmmd***.cn/h/101.exe
http://58.215.79.***:88/a.exe
http://58.215.79.***:88/7.exe-
http://58.215.79.***:88/10.exe-

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%= C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
    %Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天防线工具中的“进程管理”结束病毒进程
taskmgr.exe
(病毒名称,任意。).exe
fonts.exe

(2) 删除病毒文件
%Windir%\Cursors\beifen.exe
%Windir%\Cursors\taskmgr.exe
%System32%\(病毒名称,任意。).exe
%System32%\regedit.reg
%System32%\wbem\fonts.exe
      (3) 恢复注册表
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_VISTA\0000\Control
项:ActiveService
键值: “Microsoft Vista”
描述:设置服务项名称

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista
项:Description
键值: "系统登陆初始界面,终止该服务将导致系统不能正常登陆"   
描述:设置服务描述

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista
项: ImagePath
类型: REG_EXPAND_SZ
键值:C:\WINDOWS\Cursors\taskmgr.exe
描述:设置服务映像文件路径。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
项:StormCodec_Helper
键值: "C:\WINDOWS\system32\(病毒运行时名字,任意).exe
描述:设置病毒自启动项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Shutdown\0\0
项:Script
键值: "C:\WINDOWS\System32\(病毒运行时名字,任意).exe"
描述:设置病毒启动项。
页: [1]
查看完整版本: Trojan/Win32.Agent.aofn[Dropper]分析