Trojan-Downloader.Win32.Agent.feq分析
一、 病毒标签:病毒名称: Trojan-Downloader.Win32.Agent.feq
病毒类型: 木马类
文件 MD5: 669A866D71C31BF4553ED2992558643C
公开范围: 完全公开
危害等级: 4
文件长度: 加壳后48,684 字节 脱壳后193,536字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++
加壳类型: Upack V0.37
二、 病毒描述:
该病毒为木马类,病毒运行后,在%Systme32%下衍生病毒文件atielf.dat;当用户连接Internet时,将读取atielf.dat进而获取病毒列表文件update.txt中的URL,
、从而下载并读取其信息下载病毒文件在本机运行;通过给当前系统内执行的进程拍快照,来判断是否存在AVP.exe进程,存在便通过API函数"SetSystemTime"
、修改系统时间为2001年,月、日不变,以使卡巴斯基过期失效。新增注册表项,映像劫持多款安全软件,以降低系统的安全性;调用svchost.exe进程加载病
、毒服务;此病毒完全执行自身代码后,会结束自身进程、删除自身,病毒还会随机启动。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\atielf.dat 128 字节
2、创建病毒服务LEGACY_484、LEGACY_ATIXEVE29875,其中数字部分是随机数字。
3、调用svchost.exe加载病毒服务,连接网络,通过读取%System32%\atielf.dat去下载病毒列表文件update.txt。
4、通过给当前系统内执行的进程拍快照,来判断是否存在AVP.exe进程,存在便通过API函数"SetSystemTime"修改系统时间为2001年,月、日不变,以使卡巴斯基过期失效。
5、通过注册表映像劫持多款安全软件。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\被映像劫持的文件名称]
注册表值: "Debugger"
类型: REG_SZ
字符串:"C:\WINDOWS\system32\svchost.exe"
劫持文件名列表:
360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AppSvc32.exe、AtiSrv.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、FileDsty.exe、
FTCleanerShell.exe、FYFireWall.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、
KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、KRegEx.exe、KRepair.com、
KsLoader.exe、KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、kvolself.exe、
KvReport.kxp、KVScan.kxp、KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、KvXP.kxp、KvXP_1.kxp、KWatch.exe、
KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、Navapsvc.exe、Navapw32.exe、
nod32.exe、nod32krn.exe、nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、PFW.exe、PFWLiveUpdate.exe、
procexp.exe、QHSET.exe、QQDoctor.exe、QQKav.exe、Ras.exe、RavMonD.exe、RavStub.exe、RawCopy.exe、RegClean.exe、
RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、
safebank.exe、safeboxTray.exe、safelive.exe、scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、WinDbg.exe、WoptiClean.exe
6、 该病毒文件在执行完自身代码后,会结束自身进程、删除自身。
网络行为:
1、通过读取%System32%\atielf.dat,获取病毒文件下载列表的文件的URL。
http://www.r****.cn/update.txt
2、通过读取update.txt,对照下载列表信息,下载大量病毒文件并在本机运行,目前网址(http://www.r****.cn/update.txt)已失效。
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐)。
http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)该病毒在运行后,实现完自身代码便会结束自身进程,删除自身。
(2)删除病毒衍生的文件
%System32%\atielf.dat
(3)删除病毒添加的注册表映像劫持项
删除下的
Image File Execution Options子键,如有需要的话,可以通过在另一台与你安装同样操作系统的“裸机”导出此项,
在拷贝至本机进行导入。
页:
[1]