Trojan/Win32.TDSS.eyj[Rootkit]分析

一、 病毒标签：
病毒名称：  Trojan/Win32.TDSS.eyj[Rootkit]
病毒类型： 后门
文件 MD5： 45433E3C1489F1F64798BC82BFA21864
公开范围： 完全公开
危害等级： 4
文件长度： 23,040 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
二、 病毒描述：
该病毒为后门类病毒，病毒运行之后，复制自身到%Temp%目录下，重命名为：~TM2.tmp，使用Rootkit技术在系统中隐藏自身行为，连接网络下载3个病毒文件（该病毒文件下载的文件可能随时间变化不定），将下载的病毒文件保存到%Temp%目录下，病毒运行完毕后删除自身文件。
病毒会连接网络下载以下文件并运行：
1、http://www.onlineanalytics**.cn/test/ldr.exe
ldr.exe行为分析：病毒运行后删除“proquota.exe”（代理配置工具）文件，并添加注册表项，该文件被删除后，攻击者就可以在没有任何资源限制的情况下处理系统，病毒运行完毕后删除自身。
2、 http://94.142.1**.160/myfiles/95/411/file.exe
经分析该连接地址失效。
3、http://orzsys**.cc/files/20024.exe
20024.exe行为分析：病毒运行后，连接网络下载广告件，该敲诈广告件为杀毒工具广告件，未经过用户许可的情况下主动扫描本地磁盘，并提示检测到大量安全威胁病毒文件，欺骗用户注册，让用户汇款购买该广告件

三、 行为分析：
本地行为:
1、文件运行后会释放以下文件
%Documents and Settings%\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe
%Documents and Settings%\当前所在用户\「开始」菜单\程序\MS AntiSpyware 2009\MS AntiSpyware 2009.lnk%WINDOWS%\39.exe
3、修改注册表、添加注册表启动项及安装升级信息
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableProfileQuota
值: DWORD: 1 (0x1)
描述：限制漫游用户配置文件的大小
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MS AntiSpyware 2009
值: 字符串: ""C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe" /autorun"
描述：添加注册表启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\DisplayName
值: 字符串: "MS AntiSpyware 2009"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\DisplayVersion
值: 字符串: "5.7"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\HelpLink
值: 字符串: "http://www.antispyme**.com/"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\InstallLocation
值: 字符串: "C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\NoModify
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\NoRepair
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\Publisher
值: 字符串: "CrucialSoft Ltd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\UninstallString
值: 字符串: "C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe /uninstall"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\URLInfoAbout
值: 字符串: "http://www.antispyme**.com/"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7\URLUpdateInfo
值: 字符串: "http://www.antispyme**.com/"
描述：病毒添加注册表的安装信息及升级地址
网络行为:
协议：TCP
端口：80
连接服务器名：
http://94.142.1**.160/myfiles/95/411/file.exe
http://orzsys**.cc/files/20024.exe
http://www.onlineanalytics**.cn/test/ldr.exe
描述：连接以上地址下载恶意病毒文件及广告件
安装完毕后连接到以下域名记录安装信息：
int.msproreport1**.com/stat.php?func=installrun&id=200025&landing=-1&lang=EN&sub=20024
dl.antivir-storage-ms**.com/get/?pin=200025&lnd=-1&type=scanner
int.ms-asreport1**.com/stat.php?func=install&uid=MjAwMDI1_MjAwMjQ=_MDBGQzQ4NTA=&landing=-1
int.ms-asreport1**.com/stat.php?func=ok
注：    %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　windowsXP中默认的安装路径是%system32%　　　

四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1）使用ATOOL管理工具打开“进程管理”结束病毒进程，恢复被删除的proquota.exe文件，可以在其它系统上拷贝一份到本地%System32%目录下
（2） 强行删除病毒下载的大量病毒文件
%Documents and Settings%\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe
%Documents and Settings%\当前所在用户\「开始」菜单\程序\MS AntiSpyware 2009\MS AntiSpyware 2009.lnk%WINDOWS%\39.exe
（3）删除病毒创建的启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MS AntiSpyware 2009
删除Run键下MS AntiSpyware 2009键值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MS AntiSpyware 2009 5.7
删除uninstall键下S AntiSpyware 2009 5.7主键值