Trojan-PSW.Win32.OnLineGames.ajdc分析
一、 病毒标签:病毒名称: Trojan-PSW.Win32.OnLineGames.ajdc
病毒类型: 下载者木马
文件 MD5: 6AE29B706D63C9CD8B14622F3EFF102F
公开范围: 完全公开
危害等级: 4
文件长度: 15,756 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
二、 病毒描述:
该病毒为下载者木马类,病毒运行后衍生ctfmon.exe到%Windir%目录下,测试是否能访问www.baidu.com]www.google.cn或www.baidu.com,
如能访问则连接网络读取列表下载大量恶意文件,并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在
BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱动穿以下还原系统,GUARDFIELD.EXE(360还原保护器)、
BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序),
将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将Explorer.exe进程结束后加载%System32%目录下的
Explorer.exe,并感染%Windir%目录下的Explorer.exe文件,该病毒调用IsDebuggerPresent检测反调试器,如发现反调试器
则调用shutdown函数立即执行关闭计算机操作,病毒运行后创建emsf3.bat文件并调用其删除自身。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件:
%Windir%\ctfmon.exe 5,148 字节
2、测试是否能访问www.baidu.com]www.google.cn或www.baidu.com,如能访问则连接网络读取http://jqm.htitm5kn.cn/1.txt列表信息下载大量
恶意文件。
3、并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱
动穿以下还原系统,GUARDFIELD.EXE(360还原保护器)、BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE
(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序)。
4、将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将Explorer.exe进程结束后加载%System32%目录下的
Explorer.exe,并感染%Windir%目录下的Explorer.exe文件。
5、该病毒调用IsDebuggerPresent检测反调试器,如发现反调试器则调用shutdown函数立即执行关闭计算机操作,病毒运行后
创建emsf3.bat文件并调用其删除自身。
网络行为:
1、协议:TCP
端口:80
连接服务器名: http://jqm.htit****.cn/1.txt
IP地址:61.164.145.**
描述:连接网络读取TXT列表下载病毒文件并运行,列表内容如下:
c0=http://xxx.dfasdaqwd.cn/cao/aa1.exe
c1=http://xxx.dfasdaqwd.cn/cao/aa2.exe
c2=http://xxx.dfasdaqwd.cn/cao/aa3.exe
c3=http://xxx.dfasdaqwd.cn/cao/aa4.exe
c4=http://xxx.dfasdaqwd.cn/cao/aa5.exe
c5=http://xxx.dfasdaqwd.cn/cao/aa6.exe
c6=http://xxx.dfasdaqwd.cn/cao/aa7.exe
c7=http://xxx.dfasdaqwd.cn/cao/aa8.exe
c8=http://111.dfasdaqwd.cn/cao/aa9.exe
c9=http://111.dfasdaqwd.cn/cao/aa10.exe
c10=http://111.dfasdaqwd.cn/cao/aa11.exe
c11=http://111.dfasdaqwd.cn/cao/aa12.exe
c12=http://111.dfasdaqwd.cn/cao/aa13.exe
c13=http://111.dfasdaqwd.cn/cao/aa14.exe
c14=http://111.dfasdaqwd.cn/cao/aa15.exe
c15=http://222.dfasdaqwd.cn/cao/aa16.exe
c16=http://222.dfasdaqwd.cn/cao/aa17.exe
c17=http://222.dfasdaqwd.cn/cao/aa18.exe
c18=http://222.dfasdaqwd.cn/cao/aa19.exe
c19=http://222.dfasdaqwd.cn/cao/aa20.exe
c20=http://222.dfasdaqwd.cn/cao/aa21.exe
c21=http://222.dfasdaqwd.cn/cao/aa22.exe
c22=http://333.dfasdaqwd.cn/cao/aa23.exe
c23=http://333.dfasdaqwd.cn/cao/aa24.exe
c24=http://333.dfasdaqwd.cn/cao/aa25.exe
c25=http://333.dfasdaqwd.cn/cao/aa26.exe
c26=http://333.dfasdaqwd.cn/cao/aa27.exe
c27=http://333.dfasdaqwd.cn/cao/aa28.exe
c28=http://444.dfasdaqwd.cn/cao/aa29.exe
c29=http://444.dfasdaqwd.cn/cao/aa30.exe
c30=http://444.dfasdaqwd.cn/cao/aa31.exe
c31=http://444.dfasdaqwd.cn/cao/aa32.exe
c32=http://444.dfasdaqwd.cn/cao/aa33.exe
c33=http://444.dfasdaqwd.cn/cao/aa34.exe
c34=http://444.dfasdaqwd.cn/cao/aa35.exe
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”关闭病毒相关进程
复制%SystemRoot%\system32\dllcache\explorer.exe,替换到
%System32%\ 与%Windir%目录下的explorer.exe
(2)强行删除病毒文件:
%Windir%\ctfmon.exe
[ 本帖最后由 flyleaf 于 2008-6-25 16:14 编辑 ]
页:
[1]