flyleaf 发表于 2008-6-25 10:56

Worm.Win32.Downloader.pu分析

一、 病毒标签:
病毒名称: Worm.Win32.Downloader.pu
病毒类型: 蠕虫
文件 MD5: 54CCD54F51A0D054D71053D1C542F2ED
公开范围: 完全公开
危害等级: 4
文件长度: 36,796 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0 SPx Method 1
加壳类型: WinUpack 0.39 final -> By Dwing

二、 病毒描述:
该病毒为蠕虫木马类,病毒运行获取系统进程,查找进程中是否存在AVP.exe(卡巴斯基杀毒软件),如找到该进程则把当前系统时间修改为2001年,
目的使卡巴主动失效,遍历System32目录查找\s*st.exe的文件,找到svchost.exe文件后,创建一个进程并调用ReadProcessMemory函数读写该进程内存,
调用ZwUnmapViewOfSection获取当前进程映射的基址,然后调用WriteProcessMemory函数对内存地址写入病毒数据,创建注册表病毒服务项、映像劫持
多款安全软件,目的使系统安全性降低,连接网络读取列表下载大量恶意文件并运行,给用户清除病毒带来极大的不便。

三、 行为分析:
本地行为:
1、病毒运行获取系统进程,查找进程中是否存在AVP.exe(卡巴斯基杀毒软件),如找到该进程则把当前系统时间修改为2001年,目的使卡巴主动失效。
2、映像劫持多款安全软件:

新建键值: "Debugger"
类型: REG_SZ
字符串: “C:\WINDOWS\system32\svchost.exe”
劫持文件名列表:
360rpt.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、avconsol.exe、
avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、FileDsty.exe、FTCleanerShell.exe、
HijackThis.exe、IceSword.exe、idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、KaScrScn.SCR、KASMain.exe、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、KAVsvcUI.exe、
KISLnchr.exe、kissvc.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、KRepair.com、
KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、
mcconsol.exe、mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、
PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、rav.exe、
RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、
FYFireWall.exe、、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、
safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、
Trojanwall.exe、、TrojDie.kxp、、UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、
UpLive.exe、vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe
3、遍历System32目录查找\s*st.exe的文件,找到svchost.exe文件后,创建一个进程并调用ReadProcessMemory函数读写该进程内存,
调用ZwUnmapViewOfSection获取当前进程映射的基址,然后调用WriteProcessMemory函数对内存地址写入病毒数据,连接网络读取列表
下载大量恶意文件并运行。

网络行为:
协议:TCP
端口:80
连接服务器名:http://www.iu***.cn/baibai.txt
IP地址:121.10.107.**
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:

            20080512 http://hi.aich****.cn/down/e1.exe
    20080512 http://hi.aich****.cn/down/r2.exe
    20080512 http://hi.aich****.cn/down/a3.exe
    20080512 http://hi.aich****.cn/down/j4.exe
    20080512 http://hi.aich****.cn/down/y5.exe
    20080512 http://hi.aich****.cn/down/m6.exe
    20080512 http://hi.aich****.cn/down/r7.exe
    20080512 http://hi.aich****.cn/down/i8.exe
    20080512 http://hi.aich****.cn/down/x9.exe
    20080512 http://hi.aich****.cn/down/l10.exe
    20080512 http://hi.aich****.cn/down/b11.exe
    20080512 http://hi.aich****.cn/down/z12.exe
    20080512 http://hi.aich****.cn/down/m13.exe
    20080512 http://hi.aich****.cn/down/n14.exe
    20080512 http://hi.aich****.cn/down/o15.exe
    20080512 http://hi.aich****.cn/down/g16.exe
    20080512 http://hi.aich****.cn/down/j17.exe
    20080512 http://hi.aich****.cn/down/l18.exe
    20080512 http://hi.aich****.cn/down/c19.exe
    20080512 http://hi.aich****.cn/down/t20.exe
    20080512http://hi.aich****.cn/down/p21.exe
    20080512http://hi.aich****.cn/down/x22.exe
    20080512http://hi.aich****.cn/down/m23.exe
    20080512http://hi.aich****.cn/down/o24.exe
    20080512http://hi.aich****.cn/down/b25.exe
    20080512http://hi.aich****.cn/down/e26.exe
    20080512http://hi.aich****.cn/down/v27.exe
    20080512http://hi.aich****.cn/down/m28.exe
    20080512http://hi.aich****.cn/down/u29.exe
    20080512http://hi.aich****.cn/down/h30.exe
    20080512http://hi.aich****.cn/down/b31.exe
    20080512http://hi.aich****.cn/down/c32.exe
    20080512http://hi.aich****.cn/down/u33.exe
    20080512http://hi.aich****.cn/down/f34.exe
    20080512http://hi.aich****.cn/down/p35.exe

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
   %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%         系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   

四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐)。
       请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
      (1) 使用ATOOL“进程管理”关闭病毒相关进程
      (2)删除病毒服务注册表项
                  
                   键值:"Image File Execution Options"
                   删除注册表Image File Execution Options键值

[ 本帖最后由 flyleaf 于 2008-6-25 16:09 编辑 ]
页: [1]
查看完整版本: Worm.Win32.Downloader.pu分析