Trojan/Win32.Patched.iv[Downloader]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Patched.iv[Downloader]
病毒类型： 蠕虫
文件 MD5：CEAC796FD12CC5ECE769179222AFFDD8
公开范围： 完全公开
危害等级： 4
文件长度： 184,016 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0

二、 病毒描述：
该文件被感染式病毒所感染，感染病毒对该文件做了入口点代码修改，当用户打开被感染的文件后，先执行病毒代码，再执行正常文件的代码。执行病毒代码后切换到正常文件代码的过程：先分配临时空间，将病毒代码存放到该缓冲区内，在文件入口偏移10E处调用执行病毒代码，获取模块句柄，打开文件从文件尾部向上偏移938（2036）字节并除去正常文件的代码，然后保存到缓冲区里，将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码，创建一个线程最后跳到原入口点执行正常文件的代码，所创建的线程是运行病毒主要功能代码。在正常文件执行后，线程同时被激活，线程执行后动态加载多个系统DLL文件，遍历%System32%目录下是否存在arpcss.dll文件，如有则退出线程，如没有则找到该文件并连接网络用于下载病毒文件并将下载的病毒文件保存到临时目录下，

三、 行为分析：
本地行为:
1、将下载的文件保存到以下目录
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\~198.exe

2、后再执行正常文件的代码，执行病毒代码到切换到正常文件代码的过程：先分配临时空间，将病毒代码存放到该缓冲区里，在文件入口偏移10E处调用执行病毒代码，获取模块句柄，打开文件从文件尾部向上偏移938（2036）字节处出去正常文件的代码，并保存到缓冲区里，将读出来的正常文件数据拷贝到入口点处覆盖掉病毒代码，创建一个线程最后跳到原入口点执行正常文件的代码

网络行为:
连接网络下载病毒文件，并在本机运行：
http://dydns175.3***.org:800/jax.exe

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　


四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1） 使用ATOOL“进程管理”关闭病毒相关进程
（2） 强行删除病毒文件
（3）  提取该感染式病毒文件的特征码为入口点+10E偏移处：
FF D0 5F 5E 33 C0 5B 8B E5 5D C3
（4） 文件的清除方案
在文件尾部向上偏移938处代码开始将720（1824）字节数据读取并写入到入口点覆盖病毒代码即可