Trojan-Downloader.Win32.Agent.mtz分析
病毒标签:病毒名称: Trojan-Downloader.Win32.Agent.mtz
病毒类型: 下载者木马
文件 MD5: 0CE05429CD4E6593CACCB94A2574A3DF
公开范围: 完全公开
危害等级: 4
文件长度: 10,000 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述:
该病毒为下载者木马,病毒运行后,衍生病毒文件到系统目录%Windir%下;重命
名为ctfmon.exe、Update.dat;使用API函数InternetCheckConnectionA检测网络
连通状况,若通则创建病毒进程,访问恶意网站读取文本列表下载病毒程序并运行;
病毒运行之后通过批处理将病毒原文件删除。下载的病毒文件大量为盗号木马,由于
病毒种类繁多,给用户清理病毒带来极大的不便。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%Windir%\ctfmon.exe 4,028 字节
%Windir%\Update.dat 62 字节
2、使用API函数InternetCheckConnectionA检测网络连通状况,
若通则创建病毒进程,访问恶意网站读取文本列表下载病毒程序并运行。
网络行为:
连接网络读取http://the.micro****.net/1.txt列表下载大量病毒文件,
并在本机运行:
http://219.129.239.***/soft00.exe
http://219.129.239.***/soft01.exe
http://219.129.239.***/soft02.exe
http://219.129.239.***/soft03.exe
http://219.129.239.***/soft04.exe
http://219.129.239.***/soft05.exe
http://219.129.239.***/soft06.exe
http://219.129.239.***/soft07.exe
http://219.129.239.***/soft08.exe
http://219.129.239.***/soft09.exe
http://219.129.239.***/soft10.exe
http://219.129.239.***/soft11.exe
http://219.129.239.***/soft12.exe
http://219.129.239.***/soft12.exe
http://219.129.239.***/soft13.exe
http://219.129.239.***/soft14.exe
http://219.129.239.***/soft15.exe
http://219.129.239.***/soft16.exe
http://219.129.239.***/soft17.exe
http://219.129.239.***/soft18.exe
http://219.129.239.***/soft19.exe
http://219.129.239.***/soft20.exe
http://219.129.239.***/soft21.exe
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载: www.antiy.com
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL“进程管理”关闭病毒进程。
(2)删除病毒文件:
%Windir%\ctfmon.exe
%Windir%\Update.dat
(3)删除病毒下载的大量病毒文件。
页:
[1]