Trojan/Win32.FraudLoad.xfpr[Downloader]分析
一、 病毒标签:病毒名称: Trojan/Win32.FraudLoad.xfpr
中文名称:伪杀毒软件
病毒类型: 后门
文件 MD5: B9643B3325F5FB9AEF553FB7946F9EAB
公开范围: 完全公开
危害等级: 4
文件长度: 473,600 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
二、 病毒描述:
该恶意代码文件为伪杀毒软件,病毒伪装成WINDOWS自动升级程序,这个病毒文件会修改注册表破坏系统的安全性,伪装系统的安全威胁提示,禁用WINDOWS任务管理器、释放多个病毒文件到临时目录下、添加注册表启动项,连接网络下载伪杀毒软件安装后自动扫描系统目录,将多个系统正常文件误报为病毒文件、提示用户删除,当用户点击删除之后伪杀毒软件要求用户购买才可以清除,欺骗用户购买该伪杀毒软件。
三、 行为分析:
本地行为:
1、衍生相同文件到以下目录分别命名为
%TEMP%\wmsdk64_32.exe (病毒源文件)
%TEMP%\topwesitjh (病毒备份文件)
%TEMP%\expand32xp.dll (病毒DLL负责创建WINDOWS假的安全威胁提示)
%TEMP%\wscsvc32.exe (由expand32xp.dll病毒DLL衍生,添加注册表项)
2、这个恶意代码文件为伪杀毒软件,病毒运行后会读取注册表是否存在安装记录、读取指定的系统目录下是否有license.dat文件,如果存在则试图指定的删除注册表键值,将自身拷贝到临时目录下命名为wmsdk64_32.exe,调用ShellExecuteW函数执行拷贝后的病毒文件,添加注册表RUN启动项,当拷 贝后的病毒文件被执行后判断操作系统版本,如果是VISTA或Windows7系统则对进程提权操作,并且添加注册表禁掉任务管理器,创建互斥体防止病毒多次运行,衍生病毒DLL文件到临时目录下,枚举进程查找Explorer.exe进程找到之后将衍生的病毒DLL文件代码写入到该进程中然后利用远线程执行病毒代码,创建一个线程解密加密的字串、连接网络下载伪杀毒软件并将其保存到临时目录。
3、衍生的病毒DLL文件监视注册表是否有伪杀毒软件的键值、并却连接网络请求数据、衍生wscsvc32.exe病毒文件到临时目录下并创建该进程,每隔1分钟就再桌面右下角创建一个WINDOWS安全威胁警告示:
然后弹出antivirus installer的下载器自动联网下载伪杀毒软件:
一旦伪杀毒软件安装完成之后就会自动扫描系统目录下,并将大量系统正常文件报毒提示用户系统受到威胁要求购买之后才可以删除:
4、添加注册表启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\wmsdk64_32.exe
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\wmsdk64_32.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
值: 字符串: "\??\C:\DOCUME~1\a\LOCALS~1\Temp\VMwareDnD\00007ceb\..\??\C:\DOCUME~1\a\LOCALS~1\Temp\topwesitjh"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: 字符串: "\??\C:\DOCUME~1\a\LOCALS~1\Temp\VMwareDnD\00007ceb\..\??\C:\DOCUME~1\a\LOCALS~1\Temp\topwesitjh"
网络行为:
病毒试图连接以下网络下载文件:
http://fastsfors****.com/any3/5-direct.ex
http://searcham****.org/any3/5-direct.ex
http://finde****.org/any3/5-direct.ex
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”查找EXPLORER.EXE进程中的expand32xp.dll病毒模块,找到之后卸载掉,然后手动卸载掉伪杀毒软件
(2) 强行删除病毒文件
%TEMP%\wmsdk64_32.exe
%TEMP%\topwesitjh
%TEMP%\expand32xp.dll
%TEMP%\wscsvc32.exe
(3)删除病毒添加的注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\wmsdk64_32.exe
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\wmsdk64_32.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
值: 字符串: "\??\C:\DOCUME~1\a\LOCALS~1\Temp\VMwareDnD\00007ceb\..\??\C:\DOCUME~1\a\LOCALS~1\Temp\topwesitjh"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: 字符串: "\??\C:\DOCUME~1\a\LOCALS~1\Temp\VMwareDnD\00007ceb\..\??\C:\DOCUME~1\a\LOCALS~1\Temp\topwesitjh"
页:
[1]