avengert 发表于 2008-4-17 10:38

Trojan-Downloader.Win32.Agent.mtz分析

病毒标签:
病毒名称: Trojan-Downloader.Win32.Agent.mtz
病毒类型: 下载者木马
文件 MD5: 0CE05429CD4E6593CACCB94A2574A3DF
公开范围: 完全公开
危害等级: 4
文件长度: 10,000 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing

病毒描述:
  该病毒为下载者木马,病毒运行后,衍生病毒文件到系统目录%Windir%下;重命
名为ctfmon.exe、Update.dat;使用API函数InternetCheckConnectionA检测网络
连通状况,若通则创建病毒进程,访问恶意网站读取文本列表下载病毒程序并运行;
病毒运行之后通过批处理将病毒原文件删除。下载的病毒文件大量为盗号木马,由于
病毒种类繁多,给用户清理病毒带来极大的不便。

行为分析:
本地行为:

1、文件运行后会释放以下文件:
    %Windir%\ctfmon.exe         4,028 字节
    %Windir%\Update.dat         62 字节

2、使用API函数InternetCheckConnectionA检测网络连通状况,
  若通则创建病毒进程,访问恶意网站读取文本列表下载病毒程序并运行。

网络行为:  
  
    连接网络读取http://the.micro****.net/1.txt列表下载大量病毒文件,
    并在本机运行:

    http://219.129.239.***/soft00.exe
    http://219.129.239.***/soft01.exe
    http://219.129.239.***/soft02.exe
    http://219.129.239.***/soft03.exe
    http://219.129.239.***/soft04.exe
    http://219.129.239.***/soft05.exe
    http://219.129.239.***/soft06.exe
    http://219.129.239.***/soft07.exe
    http://219.129.239.***/soft08.exe
    http://219.129.239.***/soft09.exe
    http://219.129.239.***/soft10.exe
    http://219.129.239.***/soft11.exe
    http://219.129.239.***/soft12.exe
    http://219.129.239.***/soft12.exe
    http://219.129.239.***/soft13.exe
    http://219.129.239.***/soft14.exe
    http://219.129.239.***/soft15.exe
    http://219.129.239.***/soft16.exe
    http://219.129.239.***/soft17.exe
    http://219.129.239.***/soft18.exe
    http://219.129.239.***/soft19.exe
    http://219.129.239.***/soft20.exe
    http://219.129.239.***/soft21.exe

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  

清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载: www.antiy.com 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用ATOOL“进程管理”关闭病毒进程。
    (2)删除病毒文件:
      %Windir%\ctfmon.exe
      %Windir%\Update.dat
    (3)删除病毒下载的大量病毒文件。
页: [1]
查看完整版本: Trojan-Downloader.Win32.Agent.mtz分析