找回密码
 注册创意安天

Trojan/Win32.Agent.dxmg[Dropper]分析

[复制链接]
发表于 2010-5-18 14:42 | 显示全部楼层 |阅读模式
本帖最后由 flyleaf 于 2010-5-18 14:45 编辑

一、 病毒标签:
病毒名称: Trojan/Win32.Agent.dxmg[Dropper]
病毒类型: 木马
文件 MD5: 709A342E657B9DAE320BFE413D16F7C8
公开范围: 完全公开
危害等级: 4
文件长度: 2,211,796 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0

二、 病毒描述:
该恶意代码文件为恶意广告类木马,病毒运行后修改注册表项隐藏桌面IE浏览器,并添加多处注册表项新建IE快捷方式,使打开IE 指定连接到广告网站,创建多个病毒VBS脚本文件到系统目录下,在桌面创建多个URL快捷方式,强行安装世界之窗软件,以非法推广手段获取谋利。

三、 行为分析:
本地行为:
1、该病毒文件为多个BIND与捆绑组成的文件,首次运行后在% Program Files%目录下创建set目录并释放以下文件:
201005181.jpg
2、病毒衍生的文件所在目录:
%Documents and Settings%\All Users\桌面\Intenert Expleror.url
%Documents and Settings%\All Users\桌面\淘宝网特价区.url
%Documents and Settings%\All Users\桌面\免费快速高清晰电影.url
%Documents and Settings%\All Users\桌面\虎年运程.url
%Documents and Settings%\All Users\「开始」菜单\程序\启动\腾讯QQ.lnk
%Documents and Settings%\All Users\「开始」菜单\程序\Intenert Expleror.url
%Documents and Settings%\All Users\「开始」菜单\Intenert Expleror.url
%Documents and Settings%\当前用户\「开始」菜单\程序\快捷方式\快捷方式.lnk
%Documents and Settings%\当前用户\「开始」菜单\程序\快捷方式\卸载快捷方式.lnk
%Documents and Settings%\当前用户\Favorites\虎年运程!!.url
%Documents and Settings%\当前用户\Favorites\最新绿色极品免费电影!高速高清!天天更新!!.url
%Documents and Settings%\当前用户\Favorites\淘宝网 - 淘!我喜欢.url
%Documents and Settings%\当前用户\Favorites\小游戏,最好玩最快的超级小游戏!!.url
%Documents and Settings%\当前用户\桌面\set.exe
%Documents and Settings%\当前用户\桌面\世界之窗.lnk
%Documents and Settings%\当前用户\桌面\超级好玩小游戏.lnk
%Documents and Settings%\当前用户\Application Data\Microsoft\Internet Explorer\Quick Launch\Intenert Expleror.url
%Documents and Settings%\当前用户\Application Data\Microsoft\Internet Explorer\Quick Launch\免费快速电影.url
%Documents and Settings%\当前用户\Application Data\Microsoft\Internet Explorer\Quick Launch\淘宝网今天特价区.url
%Documents and Settings%\当前用户\Application Data\Microsoft\Internet Explorer\Quick Launch\超级好玩小游戏.lnk
%Documents and Settings%\当前用户\Application Data\Microsoft\Internet Explorer\超级好玩小游戏.lnk
%Program Files%\Common Files\winer88.html
%Program Files%\winpiz\theeworld.exe
%Program Files%\winpiz\user.vbs
%Program Files%\winpiz\xyx.exe
%Program Files%\winpiz\3.bat
%Program Files%\winpiz\2222.vbs
%Program Files%\winpiz\dy.ico
%Program Files%\winpiz\game.ico
%Program Files%\winpiz\hwxyx.exe
%Program Files%\winpiz\Internet.vbs
%Program Files%\winpiz\mm.ico
%Program Files%\winpiz\qq.ico
%Program Files%\winpiz\setup_4846.exe
%Program Files%\winpiz\tb.ico
%Program Files%\winpiz\SeFastInstall_3135a.exe
%Program Files%\快捷方式\KKJDock.exe
%Program Files%\快捷方式\快捷方式.url
%Program Files%\快捷方式\uninst.exe
%Program Files%\快捷方式\kkjDock.cfg
%Program Files%\thenewworld\link.exe
%Program Files%\thenewworld\theeworld.exe
%Program Files%\thenewworld\TheNewWorld.ini
%Program Files%\thenewworld\hulu.exe

3、set.exe为RAR SFX捆绑文件,当它执行之后将在% Program Files%目录下创建一个winpiz目录并将文件全部释放到该目录下,并执行2222.vbs脚本文件:
201005182.jpg
2222.vbs脚本文件被执行之后将会分别调用3.bat、user.vbs、xyx.exe对系统进行恶意篡改
以上脚本执行完之后病毒在桌面创建多个URL快捷方式,并隐藏IE浏览器,使用虚假IE图标替换原有的IE浏览器快捷方式:
201005183.jpg
4、修改、添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\@
新: 字符串: "%Program Files%\Internet Explorer\iexplore.exe http://www.80904.cn/?t10"
描述:篡改IE,使打开IE连接到指定网站

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{C42EB5A1-0EED-E549-91B0-153485860112}\@
值: 字符串: "Internet Explorer"
描述:创建虚假IE桌面浏览器

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-
08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-
08002B30309D}
值: DWORD: 1 (0x1)
描述:修改注册表项隐藏桌面的IE浏览器

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8F}\@
值: 字符串: "Intarnet Explorer"
描述:创建虚假IE桌面浏览器

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%              WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                      \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
 楼主| 发表于 2010-5-18 14:46 | 显示全部楼层
专杀下载链接:http://www.antiy.com/download/Trojan.Win32.Agent.dxmg[Dropper].rar
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 15:33

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表