找回密码
 注册创意安天

Trojan/Win32.Geral.vng[Downloader]分析

[复制链接]
发表于 2010-9-13 15:45 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Trojan/Win32.Geral.vng[Downloader]
病毒类型: 木马
文件 MD5: 99AD08C2211ABFD6733C8B291255AEC3
公开范围: 完全公开
危害等级: 4
文件长度: 39,834 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: Upack

二、 病毒描述:
该恶意程序为反制安全软件的木马,尤其针对卡巴斯基。恶意程序遍历进程查找AVP.EXE,找到之后试图关闭其进程,并添加注册表映像劫持、劫持多个系统进程和安全软件,另外病毒会创建一个驱动设备伪装成系统驱动设备来隐藏自身,病毒运行完毕后删除自身,并试图连接网络发送安装统计信息。

三、 行为分析:
本地行为:
1、衍生病毒文件到以下目录:
%System32%\drivers\amdk8.sys       
%Windir%\inf\oem5.inf
%Windir%\inf\oem5.PNF
%Windir%\LastGood\INF\oem5.inf
%Windir%\LastGood\INF\oem5.PNF
%Documents and Settings%\当前用户\Local Settings\Temp\dfcale.tmp        (试图将AVP窗口设置成为自身创建的窗口的子窗口,然后调用函数注销自身窗口,而卡巴窗口和进程也就随即被关闭了)
%Documents and Settings%\当前用户\Local Settings\Temp\updata.exe
%Documents and Settings%\当前用户\Local Settings\Temp\ope4.tmp
%Program Files%\ATI\amdk8.dll   (进程提权操作、遍历进程查找卡巴,找到之后试图枚举进程中多个模块DLL并调用内核函数卸载掉模块)

2、添加注册表服务启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
值: 字符串: "%System32%\kav.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amdk8\DisplayName
值: 字符串: "Driver for amdk8 Device"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amdk8\ImagePath
值: 字符串: "system32\DRIVERS\amdk8.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amdk8\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amdk8\Tag
值: DWORD: 9 (0x9)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amdk8\Type
值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amdk8\DisplayName
值: 字符串: "Driver for amdk8 Device"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amdk8\ImagePath
值: 字符串: "system32\DRIVERS\amdk8.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amdk8\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amdk8\Tag
值: DWORD: 9 (0x9)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amdk8\Type
值: DWORD: 1 (0x1)

3、病毒运行后创建一个互斥体"mlgbcao.",创建线程遍历进程查找AVP.EXE进程,如果找到进程就衍生病毒文件到临时目录下,动态加载衍生的病毒文件,调用病毒自定义的模块CV,病毒模块会建立一个线程查找类名为nni1a标题为nn3u3的窗口并将其窗口隐藏,创建一个窗口并枚举桌面当前窗口句柄,试图将AVP窗口设置成为自身创建的窗口的子窗口,然后调用函数注销自身窗口,而卡巴窗口和进程也就随即被关闭了,卡巴可能对SetParent函数没有做处理所以被恶意代码所利用,创建一个驱动设备Class for amdk8 devices来增强病毒的隐蔽性。

4、遍历进程查找AVP.EXE找到之后试图卸载掉该进程内的kavbase.kdl、webav.kdl、vlns.kdl、mark.kdl、klavemu.kdl、kjim.kdl,试图调用命名行禁用AVP服务"config avp start= disabled"

5、添加注册表映像劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的文件名\Debugger
值: 字符串: "rundll32.exe"
360delays.exe、360realpro.exe、360rp.exe、360safe.exe、360Safebox.exe、360sd.exe、360SoftMgrSvc.exe、360tray.exe、AgentSvr.exe、alg.exe、antiarp.exe、avp.exe、bdagent.exe、ccapp.exe、CCenter.exe、ccEvtMgr.exe、ccSetMgr.exe、ccSvcHst.exe、defwatch.exe、DrUpdate.exe、DrvAnti.exe、DSMain.exe、egui.exe、ekrn.exe、engineserver.exe、FrameworkService.exe、KABackReport.exe、kaccore.exe、KavStart.exe、KISSvc.exe、kmailmon.exe、KPFW32.exe、KPfwSvc.exe、kppserv.exe、KPPTray.exe、KSafeSvc.exe、KSafeTray.exe、KSWebShield.exe、KVSrvXP.exe、KWatch.exe、kwstray.exe、kxedefend.exe、kxesapp.exe、kxescore.exe、kxeserv.exe、kxetray.exe、livesrv.exe、LiveUpdate360.exe、mcagent.exe、mcinsupd.exe、mcmscsvc.exe、mcnasvc.exe、McProxy.exe、mcshell.exe、mcshield.exe、mcsysmon.exe、McTray.exe、mcupdmgr.exe、mfeann.exe、mfevtps.exe、MpfSrv.exe、MPMon.exe、MPSVC.exe、MPSVC1.exe、MPSVC2.exe、naPrdMgr.exe、nbmanti.exe、QQDoctor.exe、QQDoctorRtp.exe、QQDrNetMon.exe、qutmserv.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RegGuide.exe、rfwsrv.exe、RsAgent.exe、rsnetsvr.exe、rssafety.exe、RsTray.exe、rtvscan.exe、safeboxTray.exe、ScanFrm.exe、SHSTAT.exe、udaterui.exe、Uplive.exe、upsvc.exe、vptray.exe、vsserv.exe、vstskmgr.exe、xcommsvr.exe、XsClient.exe、zhudongfangyu.exe
网络行为:
连接IP发送信息
61.97.247.**:99(地址失效)

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%              WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                      \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL进程管理结束updata.exe病毒进程
(2) 强行删除病毒衍生的文件和下载的大量病毒文件
%System32%\drivers\amdk8.sys       
%Windir%\inf\oem5.inf
%Windir%\inf\oem5.PNF
%Windir%\LastGood\INF\oem5.inf
%Windir%\LastGood\INF\oem5.PNF
%Documents and Settings%\当前用户\Local Settings\Temp\dfcale.tmp
%Documents and Settings%\当前用户\Local Settings\Temp\updata.exe
%Documents and Settings%\当前用户\Local Settings\Temp\ope4.tmp
%Program Files%\ATI\amdk8.dll
(3)删除病毒添加的注册表服务项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
值: 字符串: "%System32%\kav.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
删除Image File Execution Options键值下被劫持的文件
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\amdk8
删除Services键值下的amdk8整个键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amdk8
删除Services键值下的amdk8整个键值
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 13:36

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表