一、 病毒标签:
病毒名称: Trojan/Win32.StartPage.zdf[Clicker]
病毒类型: 木马
文件 MD5: C6D78EE7BBF99382F42138694F4F8CE7
公开范围: 完全公开
危害等级: 3
文件长度: 40,448 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: ASPack
二、 病毒描述:
该恶意代码文件为木马类,病毒运行后创建互斥量MutexName = "Q-$-EXE",以防止病毒多次运行产生冲突,创建一个线程通过检查注册表来确认是否安装QQ、迅雷等工具,并获取相应安装路径。遍历QQ的BIN目录查找TaskTray.dll文件,获取该文件的文件大小并比较文件大小是否是300000,如不是则删除%HOMEDRIVE%下的Q999.dll文件,并创建一个已经写入35328字节数据的新Q999.dll文件到%HOMEDRIVE%下,且将文件属性设置为隐藏。将BIN文件夹下的TaskTray.dll命名为Shareds.dll,将%HOMEDRIVE%下的Q999.dll病毒文件移动到BIN文件夹下命名为TaskTray.dll文件,动态获取大量API函数遍历进程查找QQ.EXE找到之后强行结束其进程。同样利用以上注册表查询迅雷的安装路径并获取迅雷目录下的mp.dll的文件大小,查找Shareds.dll文件并以该文件作为标志来判断是否已经被修改过,创建一个已经写入35328字节数据的新xlnnn.dll文件到%HOMEDRIVE%下,同样将xlnnn.dll替换成迅雷目录下的mp.dll,将mp.dll改名为Shareds.dll,再次遍历进程查找Thunder.exe找到之后结束该进程。在%HOMEDRIVE%下创建一个nyvdvm.lnk快捷方式文件、写入693字节数据,设置注册表将桌面的IE浏览器隐藏,同时将%HOMEDRIVE%下的nyvdvm.lnk快捷方式文件移动到桌面命名为Internet Explorer.lnk,调用Netbios函数获取本机MAC地址,隐藏开启iexplore.exe进程连接网络发送安装统计信息,病毒对QQ和迅雷的文件替换主要目是监视桌面上病毒创建的Internet Explorer.lnk,如发现被删除则会立即创建,这样达到无法正常删除的目的,当用户打开桌面IE浏览器时,将会跳转到病毒指定的广告网址。
三、 行为分析:
本地行为:
1、通过注册表检查是否安装QQ、迅雷等工具具体检测注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\TENCENT\QQ\Install 腾讯QQ
找到该键值之后获取QQ安装目录,遍历QQ的BIN目录查找TaskTray.dll文件,获取该文件的文件大小比较文件大小是否是300000,如不是则删除%HOMEDRIVE%下的Q999.dll文件,创建一个新的Q999.dll文件到%HOMEDRIVE%下写入35328字节数据,并将文件属性设置为隐藏,将BIN文件夹下的TaskTray.dll命名为Shareds.dll,将%HOMEDRIVE%下的Q999.dll病毒文件移到BIN文件夹下命名为TaskTray.dll文件。
HKEY_LOCAL_MACHINE\SOFTWARE\Thunder Network\ThunderOem\thunder_backwnd 迅雷
找到该键值之后获取迅雷安装目录,遍历迅雷目录查找mp.dll文件,获取该文件的文件大小比较文件大小是否是300000,如不是则删除%HOMEDRIVE%下的xlnnn.dll文件,创建一个新的xlnnn.dll文件到%HOMEDRIVE%下写入35328字节数据,并将文件属性设置为隐藏,将迅雷安装文件夹下的mp.dll命名为Shareds.dll,将%HOMEDRIVE%下的xlnnn.dll病毒文件移到雷安装文件夹下命名为mp.dll文件。
2、文件运行后会释放以下文件
%DriveLetter%\Thunder Network\Thunder\Program\mp.dll
%DriveLetter%\Tencent\QQ\Bin\TaskTray.dll
3、修改注册表项隐藏桌面IE浏览器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
4、在%HOMEDRIVE%下创建一个nyvdvm.lnk快捷方式文件、写入693字节数据,设置注册表隐藏桌面的IE浏览器,将%HOMEDRIVE%下的nyvdvm.lnk快捷方式文件移动到桌面命名为Internet Explorer.lnk,调用Netbios函数获取本机MAC地址,隐藏开启iexplore.exe进程连接网络发送安装统计信息,病毒对QQ和迅雷的文件替换主要目是监视桌面上病毒创建的Internet Explorer.lnk,如发现被删除则会立即创建,这样达到无法正常删除的目的
网络行为:
协议:TCP
端口:80
域名:http://174.139.2.***/Go.ashx?Mac=00:0C:29:8C:9D:B6&UserId=33&Bate=1.11
描述:病毒运行完毕后调用IE隐藏打开以上地址发送安装统计信息
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)结束QQ、迅雷工具
(2) 强行删除病毒衍生的文件
%DriveLetter%\Thunder Network\Thunder\Program\mp.dll
%DriveLetter%\Tencent\QQ\Bin\TaskTray.dll
将QQ目录下的Shareds.dll改名为TaskTray.dll
将迅雷目录下的Shareds.dll改名为mp.dll
删除桌面的Internet Explorer.lnk快捷方式
(3)恢复病毒修改的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
将以上2个DWORD值改成0 |
|
发表于 2010-4-19 14:28
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡