设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 病毒播报 Backdoor.Win32.Small.duj
返回列表 发新帖

Backdoor.Win32.Small.duj

[复制链接]
发表于 2008-5-26 09:51 | 显示全部楼层 |阅读模式
Backdoor.Win32.Small.duj分析
出处:安天病毒分析组 时间:2008-05-21 11:00


病毒标签:
病毒名称: Backdoor.Win32.Small.duj
病毒类型: 后门
文件 MD5: F365C0D33362A683924A1F1D2C30C354
公开范围: 完全公开
危害等级: 4
文件长度: 22,528 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0

病毒描述:
  该病毒为下载者木马类,病毒运行后调用API获取系统文件夹路径,创建___temp.bat
到%Windir%\Temp目录下,并执行批处理代码,目的将%Windir%\目录下与%system32%
\dllcache目录下的explorer.exe文件授予当前用户完全控制权限,调用
ZwQuerySystemInformation函数枚举进程模块,判断是否存在SunwardSysMon.sys
(驱动防火墙文件),释放病毒驱动文件hook.sys到%Windir%\Temp目录下,创建病毒
服务,等待加载完毕后将病毒驱动文件删除,并衍生病毒文件到系统目录%Windir%\Temp
下;重命名为weilai.mp3;该文件伪装成MP3格式文件隐藏运行,连接网络下载大量恶意
文件,下载的病毒文件多数为盗号木马,受感染用户还有可能会被操纵进行Ddos攻击、远
程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。

行为分析:
本地行为:

1、文件运行后会释放以下文件:

    %Windir%\hook.sys        8,960 字节
    %system32%\weilai.mp3     2,976 字节

2、创建注册表病毒服务:

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\hook]
    注册表值: "DisplayName"
    类型: REG_SZ
    值: 字串:" hook"
    描述: 服务名称

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\hook]
    注册表值: "ErrorControl"
    类型: REG_SZ
    值:"DWORD: 1 (0x1)"
    描述: 服务控制

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\hook]
    注册表值: "ImagePath
    类型: REG_EXPAND_S
    值:字串:"%WINDOWS%\Temp\hook.sys"
    描述: 服务描述

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\hook]
    注册表值: "Start"
    类型: REG_SZ
    值:"DWORD: 3 (0x3)"
    描述: 服务的启动方式,手动

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\hook]
    注册表值: "Type"
    类型: REG_SZ
    值:"DWORD: 1 (0x1)"
    描述: 服务类型
    
3、创建___temp.bat到%Windir%\Temp目录下,并执行批处理代码,目的将%Windir%\
  目录下与%system32%\dllcache目录下与%Windir%\目录下的explorer.exe文件授予
  当前用户完全控制权限。
  BAT代码为:echo y|cacls %system32%\dllcache\explorer.exe /g a:f

4、调用ZwQuerySystemInformation函数枚举进程模块,判断是否存在 
  SunwardSysMon.sys(驱动防火墙文件),释放病毒驱动文件hook.sys到
  %Windir%\Temp目录下,创建病毒服 务,等待加载完毕后将病毒驱动文件删除。

5、衍生病毒文件到系统目录%Windir%\Temp下;重命名为weilai.mp3;该文件伪装
  成MP3格式文件隐藏运行,连接网络下载大量恶意文件

网络行为:

1、协议:TCP
  端口:80
  连接服务器名: http://x.us****.net/hh.jpg
  IP地址:121.10.108.***

  描述:连接网络读取hh.jpg的内容下载病毒文件,下载列表内容为:
  21

    http://1.12****.net/iii/a.exe
    http://1.12****.net/iii/a0.exe
    http://1.12****.net/iii/a1.exe
    http://1.12****.net/iii/a2.exe
    http://1.12****.net/iii/a3.exe
    http://1.12****.net/iii/a4.exe
    http://1.12****.net/iii/a5.exe
    http://1.12****.net/iii/a6.exe
    http://1.12****.net/iii/a7.exe
    http://2.12****.net/iii/a8.exe
    http://2.12****.net/iii/a9.exe
    http://2.12****.net/iii/a10.exe
    http://2.12****.net/iii/a11.exe
    http://2.12****.net/iii/a12.exe
    http://2.12****.net/iii/a13.exe
    http://2.12****.net/iii/a14.exe
    http://3.12****.net/iii/a15.exe
    http://3.12****.net/iii/a16.exe
    http://4.12****.net/iii/a35.exe
    http://3.12****.net/iii/a18.exe
    http://3.12****.net/iii/a19.exe
    http://3.12****.net/iii/a20.exe
    http://3.12****.net/iii/a21.exe
    http://3.12****.net/iii/a22.exe
    http://3.12****.net/iii/a23.exe
    http://3.12****.net/iii/a24.exe
    http://4.12****.net/iii/a25.exe
    http://4.12****.net/iii/a26.exe
    http://4.12****.net/iii/a27.exe
    http://4.12****.net/iii/a28.exe
    http://4.12****.net/iii/a29.exe
    http://4.12****.net/iii/a30.exe
    http://4.12****.net/iii/a31.exe
    http://4.12****.net/iii/a32.exe
    http://4.12****.net/iii/a33.exe
    http://4.12****.net/iii/a34.exe

2、连接网络下载大量病毒文件,并在本机运行,大部分病毒文件为盗号木马:

    http://1.12****.net/iii/a0.exe
    病毒名: (Trojan-PSW.Win32.OnLineGames.aidm)

    http://1.12****.net/iii/a1.exe
    病毒名: (Trojan-PSW.Win32.OnLineGames.aidm)

    http://1.12****.net/iii/a2.exe
    病毒名: (Trojan-PSW.Win32.OnLineGames.aeay)

    http://1.12****.net/iii/a3.exe
    病毒名: (Trojan-PSW.Win32.OnLineGames.adqo)

    http://1.12****.net/iii/a4.exe
    病毒名: (Trojan-PSW.Win32.OnLineGames.afql)

    http://1.12****.net/iii/a5.exe
    病毒名: (Trojan-PSW.Win32.OnLineGames.aimb)

    http://1.12****.net/iii/a6.exe
    病毒名: (Trojan-PSW.Win32.OnLineGames.aihg)

    http://1.12****.net/iii/a7.exe
    病毒名: ( Trojan-Proxy.Win32.Xorpix.fc)

    http://1.12****.net/iii/a8.exe
    连接失效

    http://1.12****.net/iii/a9.exe
    连接失效

    http://1.12****.net/iii/a10.exe
    连接失效

    http://1.12****.net/iii/a11.exe
    连接失效

    http://1.12****.net/iii/a12.exe
    连接失效

    http://1.12****.net/iii/a13.exe
    连接失效

    http://1.12****.net/iii/a14.exe
    连接失效

    http://1.12****.net/iii/a15.exe
    连接失效

    http://1.12****.net/iii/a16.exe
    连接失效

    http://1.12****.net/iii/a17.exe
    连接失效

    http://1.12****.net/iii/a18.exe
    连接失效

    http://1.12****.net/iii/a19.exe
    连接失效

    http://1.12****.net/iii/a20.exe
    连接失效

    http://1.12****.net/iii/a21.exe
    连接失效

    http://1.12****.net/iii/a22.exe
    连接失效

    http://1.12****.net/iii/a23.exe
    连接失效

    http://1.12****.net/iii/a24.exe
    连接失效

    http://1.12****.net/iii/a25.exe
    连接失效

    http://1.12****.net/iii/a26.exe
    连接失效

    http://1.12****.net/iii/a27.exe
    连接失效

    http://1.12****.net/iii/a28.exe
    连接失效

    http://1.12****.net/iii/a29.exe
    连接失效

    http://1.12****.net/iii/a30.exe
    连接失效

    http://1.12****.net/iii/a31.exe
    连接失效

    http://1.12****.net/iii/a32.exe
    连接失效

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  
        

    

--------------------------------------------------------------------------------
清除方案:
  1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载: www.antiy.com 
  2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用ATOOL打开进程管理找到Explorer.exe进程,
      结束Explorer.exe进程。
    (2)强行删除病毒文件:
      %Windir%\tciocp32.exe
      %system32%\tciocp32.dll
    (3)删除病毒创建的注册表服务项:
     [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\hook]
      注册表值: "DisplayName"
      类型: REG_SZ
      值: 字串:" hook"
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\hook]
      注册表值: "ErrorControl"
      类型: REG_SZ
      值:"DWORD: 1 (0x1)"
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\hook]
      注册表值: "ImagePath
      类型: REG_EXPAND_S
      值:字串:"%WINDOWS%\Temp\hook.sys"
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\hook]
      注册表值: "Start"
      类型: REG_SZ
      值:"DWORD: 3 (0x3)"
      [HKEY_LOCAL_MACHINE\SYSTEM
      \ControlSet001\Services\hook]
      注册表值: "Type"
      类型: REG_SZ
      值:"DWORD: 1 (0x1)"
    (4) 删除下载的病毒衍生后的文件:
      %system32%\drivers\msosmsp2p32.sys
      %system32%\msosmhfp00.dll
      %system32%\msosmhfp.dat
      %system32%\fmsiocps.dll
      %system32%\anistio.dll
      %system32%\SysWoWaVi.dll
      %system32%\dionpis.dll
      %system32%\nicozftp00.dll
      %WINDOWS%\win.ini
      %WINDOWS%\temp\__write_over__
      %WINDOWS%\temp\weilai.mp3
      %WINDOWS%\temp\list.jpg
      %WINDOWS%\temp\0.jpg
      %WINDOWS%\temp\1.jpg
      %WINDOWS%\temp\5.jpg
      %WINDOWS%\temp\7.jpg
      %WINDOWS%\fmsiocps.exe
      %WINDOWS%\anistio.exE
      %WINDOWS%\dionpis.exe
backdoor, duj

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-9-17 03:40

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表