Trojan-Downloader.Win32.Agent.yko分析
一、 病毒标签:病毒名称: Trojan-Downloader.Win32.Agent.yko
病毒类型: 蠕虫
文件 MD5: 37366A95A5D0FD0664CDAC6512DC77A5
公开范围: 完全公开
危害等级: 4
文件长度: 77,312 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: ASPack 2.12 -> Alexey Solodovnikov
二、 病毒描述:
该病毒为刷流量病毒,病毒运行后加载动态链接库urlmon.dll,获取%Temp%临时文件夹目录,利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下,重命名为:TBHAILYFXYV.zbc(随机病毒名),在%system32%\oobe目录下利用命令行方式创建一个windows下删不掉的文件夹命名为:“bak..”,将%Temp%临时文件夹TBHAILYFXYV.zbc文件,利用命令行方式拷贝到%system32%\oobe\bak.目录下,命名为:Outputbat.txt,作为作为代码的备份,遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc(随机病毒名), 将文件时间值转换成DOS日期和时间值,并在临时目录下创建一个后缀以EXE同名的文件,获取MZP头以命令行方式将病毒打包成自解压文件并设置密码为:“logved*log;7^5#;tvn”,以达到杀毒软件无法解压文件而不能查杀该病毒文件的目的,在DOS下使用命令行解压文件install.exe,并以命令行方式启动该文件,在%system32%\oobe\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象,病毒文件并创建一个名为5046(4位随机数字)并释放一个病毒文件svchost.exe到该目录下,创建该病毒进程,该文件用来定时隐藏打开大量的网页地址,添加注册表启动项,穿过windows自带防火墙,执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除,最后创建$$30689.bat批处理文件删除病毒原文件。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件:
%system32%\302fcc88b1.dll 92,672 字节 (10位随机数字与字母组合病毒名)
%windir%\f218f4fbb2.dll 64 字节 (10位随机数字与字母组合病毒名)
%system32%\oobe\0755\svchost.exe 871,936 字节 (4位随机数字文件夹名)
%system32%\oobe\qnujhyroni.dll 563,712 字节
2、修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\oobe\unkgknroni.dll"
描述:添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\ProgID\@
值: 字符串: "unkgknroni.XunBHoSwf"
描述:病毒文件注册为BHO的名称
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unkgknroni.XunBHoSwf\Clsid\@
值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"
描述:注册CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03C12478-A0D3-4291-A535-F6D16BA08D68}\
描述:将病毒DLL文件注册为BHO浏览器辅助对象
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\oobe\7955\svchost.exe
值: 字符串: "C:\WINDOWS\system32\oobe\7955\svchost.exe:*:Enabled:svchost"
描述:将病毒文件设置为Windows自带防火墙为旅行,达到调过防火墙窗口询问目的
4、病毒运行后加载动态连接库文件urlmon.dll,获取%Temp%临时文件夹目录,利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码到本机保存到临时文件夹下,重命名为:TBHAILYFXYV.zbc(随机病毒名)
5、 在%system32%\oobe目录下利用DOS命令行方式:CMD /C MD C:\WINDOWS\system32\oobe\bak.\创建一个windows下删不掉的文件夹命为:“bak..”,将%Temp%临时文件夹TBHAILYFXYV.zbc文件,利用命令行方式:CMD /C COPY C:\DOCUME~1\a\LOCALS~1\Temp\TBHAILYFXYV.zbc C:\WINDOWS\system32\oobe\bak..\Outputbat.txt /Y拷贝到%system32%\oobe\bak.目录下,命名为:Outputbat.txt,作为作为病毒代码的备份。
6、遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc(随机病毒名), 将文件时间值转换成DOS日期和时间值,并在临时目录下创建一个后缀以TBHAILYFXYV.EXE同名的文件,获取MZP头以命令行方式:""%s" -p"%s" -o- -s -d"%s将病毒打包成自解压文件并设置密码为:“logved*log;7^5#;tvn”
7、在DOS下使用命令行:C:\DOCUME~1\a\LOCALS~1\Temp\KHOANEHWQPR.exe" -p"logved*log;7^5#;tvn" -o- -s -d"C:\DOCUME~1\a\LOCALS~1\Temp\解压文件install.exe,并以命令行方式启动该文件,在%system32%\oobe\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象,病毒文件并创建一个名以5046(4位随机数字的目录)并释放一个病毒文件svchost.exe到该目录下,创建该病毒进程,该文件用来定时隐藏打开大量的网页地址,执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除,最后创建$$30689.bat批处理文件删除病毒原文件
网络行为:
连接以下网址统计病毒安装情况,并顺序隐藏打开大量病毒预定好的网址:
http://www.ww****.cn/usersetup.asp?action=027B04E05BE9C3AD11EFF8364C0F7008436CB1B5107441BBC136545931684A0BDF4DD741245DB1256C8ADF1A18A827E643FB175282FC3D4B
http://www.ww****.cn/usersetup.asp?action=6D663F4F2B2AC7480D4710CBFE9572144AAA68BBF4D73AF73792A323C9E9416F34BED6008CE304CC8E75B079077CEA8EE6318EA8F840EDEE32AFED2FB03C8CFF19818140F3646A4ABDA27E22232B6796EFDC24927BC7BEB6C9C63CBFA8EABB0B87513EED40601DDDF3F1C3D3B166C74DB17E7A7CCCE1AA93CDDD2777182AD129
*163*.txt
*yahoo*.txt
*sina*.txt
*3721*.txt
*alimama*.txt
*mmstat*.txt
*114*.txt
*yisou*.txt
*baidu*.txt
*google*.txt
*9v*.txt
*alibaba*.txt
*lianmeng*.txt
*2t3t*.txt
*sogou*.txt
*aliunion*.txt
*narrowad*.txt
*bolaa*.txt
*forsky*.txt
*heima8*.txt
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线2008可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”关闭%system32%\oobe\0755\svchost.exe
路径的病毒进程
(2) 恢复注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\oobe\unkgknroni.dll"
描述:添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\ProgID\@
值: 字符串: "unkgknroni.XunBHoSwf"
描述:病毒文件注册为BHO的名称
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unkgknroni.XunBHoSwf\Clsid\@
值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"
描述:注册CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03C12478-A0D3-4291-A535-F6D16BA08D68}\
描述:将病毒DLL文件注册为BHO浏览器辅助对象
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\oobe\7955\svchost.exe
值: 字符串: "C:\WINDOWS\system32\oobe\7955\svchost.exe:*:Enabled:svchost"
描述:将病毒文件设置为Windows自带防火墙为旅行,达到调过防火墙窗口询问目的
(4) 删除病毒毒衍生的文件:
%system32%\302fcc88b1.dll
%windir%\f218f4fbb2.dll
%system32%\oobe\0755\svchost.exe
%system32%\oobe\qnujhyroni.dll
使用命令:rd bak..\/s在CMD命令下删除%system32%\oobe\目录下的bak.文件夹,或使用ATOOL工具强行删除该文件夹
页:
[1]