Trojan/Win32.Ekafod.q[Dropper]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Ekafod.q[Dropper]
病毒类型： 木马
文件 MD5： 480CC0A80FA372158EEAFA37D3479A60
公开范围： 完全公开
危害等级： 4
文件长度： 74,240 字节
感染系统： Windows98以上版本
加壳类型： UPX
开发工具： Microsoft Visual C++ 6.0

二、 病毒描述：
病毒运行后获取系统时间来作为衍生的随机病毒文件名，添加病毒注册表启动项，遍历进程查找"ravmond.exe"进程，衍生多个病毒DLL文件到%System32%目录下，检测%System32%\dllcache目录下是否存在该DLL文件如不存在则衍生相同文件到该目录下，检测D盘下是否存在ssshall目录，如不存在则创建，并将创建的目录属性设置为隐藏，调用regsvr32  /s注册病毒衍生的DLL组件，调用rundll32.exe隐藏安装病毒DLL文件，衍生病毒EXE文件到System32%目录下并命名为Dofake.exe，将D盘下所有文件夹设置为隐藏，并将所有文件夹文字记录下来，将除系统盘外所有磁盘的根目录下所有文件夹属性设置为隐藏，再创建以文件夹为名的.exe文件，使用户不被发现，当用户双击打开文件夹时先执行病毒文件之后病毒文件调用EXPLORER.EXE资源管理器方式再打开真正的文件夹，被感染的机器连接网络在后台隐藏打开多个恶意连接。

三、 行为分析：
本地行为:
1、文件运行后会释放以下文件
%System32%\dllcache\hyhb9.dll  
（该DLL文件循环写入注册表，发现用户修改立即写入！连接网络
http://www.superqqface.com/lin/l ... =1.0.1&val=1670发送安装统计信息,该网页已无法打开）

%System32%\hyhb9.dll           
（该DLL文件循环写入注册表，发现用户修改立即写入！连接网络发送安装统计信息）

%System32%\hyhbd.dll               
（遍历磁盘找到病毒DLL文件，如发现被删除则
连接网络http://www.renren1****.com/plug/HtmlPeek.dll从新下载DLL文件）

%System32%\tata_1.dll               
（判断自身代码进程是否是"explorer.exe"，如不是就退出，查找IE浏览器窗口，连接假冒淘宝网站http://pindao.huoban.taobao.com/channel/onSale.htm，该网页看似是淘宝首页，很多热卖商品是作者作者自己修改排名的产品，以提高用户点击率达到热卖目的）

2、添加注册表服务
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy\PlugName\LogonMainName
值: 字符串: "hyhb9.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy\PlugName\LogonName
值: 字符串: "hyhb9.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy\CSID\dllname
值: 字符串: "hyhbd.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy\CSID\dllpath
值: 字符串: "D:\ssshall"

3、遍历进程查找"ravmond.exe"进程，检测D盘下是否存在ssshall目录，如不存在则创建，并将创建的目录属性设置为隐藏，调用"regsvr32  /s  %System32%\hyhb9.dll"注册病毒衍生的DLL组件，调用"rundll32  hyhb9.dll , InstallMyDll"隐藏安装病毒DLL文件，衍生病毒EXE文件到System32%目录下命名为Dofake.exe，将D盘下所有文件夹设置为隐藏，并将所有文件夹文字记录下来，修改出系统盘外所有磁盘的跟目录下所有文件夹为隐藏属性，再将创建以文件夹为名的.exe文件，如下图：

网络行为:
协议：TCP
端口：80
描述：病毒运行后会开启多个线程后台连接多个恶意网址
http://www.fydown***.com/2.htm
http://www.hao1***.com/2.htm
http://www.so***.com/2.htm
http://www.fy***.com/2.htmhyhb9.dll
http://pindao.hu***.taobao.com/channel/onSale.htm
http://www.renren1***.com/plug/HtmlPeek.dll
连接网络
http://www.superqq***.com/lin/lin.aspcpname=A-738DF22C9CA04&hardid=01000000000000000000&netid=00:0C:29:8C:9D:B6&user=full78&sname=C2&ver=1.0.1&val=1670发送安装统计信息

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　


四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1） 使用ATOOL“进程管理”结束病毒相关进程
（2） 强行删除病毒文件
%System32%\dllcache\hyhb9.dll （以下DLL文件都为随机病毒名）
%System32%\hyhb9.dll
%System32%\hyhbd.dll
%System32%\tata_1.dll
（3）  删除病毒服务注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy
删除SOFTWARE键下的Softfy主键值
（4）恢复病毒修改的除系统盘外所有磁盘的根目录文件夹，具体步骤如下：
打开我的电脑-进入被该得磁盘-工具-文件夹选项-查看，勾选上以下红色标记处选项
然后删除病毒创建的（文件夹名.exe）,将病毒隐藏的正常文件夹的隐藏属性勾去                掉