找回密码
 注册创意安天

Trojan/Win32.Small.dou[Dropper]分析

[复制链接]
发表于 2009-7-27 11:21 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Trojan/Win32.Small.dou[Dropper]
病毒类型: 下载者
文件 MD5: 3EC822ED36834009AF94419C905C6CEE
公开范围: 完全公开
危害等级: 4
文件长度: 14,848 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX

二、 病毒描述:
该恶意代码为下载者木马,病毒运行后调用sfc.dll的#5序号函数去掉对appmgmts.dll文件的保护,遍历%System32%与%System32%\dllcache目录下的appmgmts.dll文件,找到后创建一个同名文件覆盖该目录下的文件,并以该文件的服务启动该病毒替换后的文件,病毒运行完毕后释放批处理文件删除自身,衍生的appmgmts.dll文件行为分析:释放驱动文件到%System32%\drivers\目录下,用于恢复SSDT躲避安全软件主动防御检测,添加映像劫持劫持多款安全软件进程,连接网络读取列表下载大量恶意病毒文件。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%System32%\drivers\klan.sys
%System32%\dllcache\appmgmts.dll
%System32%\appmgmts.dll

2、添加映像劫持、创建病毒服务项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的进程名\Debugger
值: 字符串: "ntsd -d"
描述:添加映像劫持劫
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan\DisplayName
值: 字符串: "klan"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan\ImagePath
值: 字符串: "\??\C:\WINDOWS\system32\drivers\klan.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan\Type
值: DWORD: 1 (0x1)
描述:添加病毒服务

3、利用病毒衍生的DLL文件替换%System32%与%System32%\dllcache目录下的appmgmts.dll文件,释放驱动文件到%System32%\drivers\目录下,命名为: klan.sys,用于恢复SSDT躲避安全软件主动防御检测,添加映像劫持劫持以下安全软件进程:
360hotfix.exe、360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、agentsvr.exe、apvxdwin.exe、ast.exe、avcenter.exe、avengine.exe、avgnt.exe、avguard.exe、avltmain.exe、avp32.exe、avtask.exe、bdagent.exe、bdwizreg.exe、boxmod.exe、ccapp.exe、ccenter.exe、ccevtmgr.exe、ccregvfy.exe、ccsetmgr.exe、cqw32.exe、DrvAnti.exe、egui.exe、ekrn.exe、enc98.EXE、extdb.exe、frameworkservice.exe、frwstub.exe、guardfield.exe、iparmor.exe、kaccore.exe、kasmain.exe、kav32.exe、kavstart.exe、kavsvc.exe、kavsvcui.exe、kislnchr.exe、kissvc.exe、kmailmon.exe、knownsvr.exe、kpfw32.exe、kpfwsvc.exe、kregex.exe、kvfw.exe、kvmonxp.exe、kvmonxp.kxp、kvol.exe、kvprescan.exe、kvsrvxp.exe、kvwsc.exe、kvxp.kxp、kwatch.exe、livesrv.exe、mcagent.exe、mcdash.exe、mcdetect.exe、mcshield.exe、mctskshd.exe、mcvsescn.exe、mcvsshld.exe、mghtml.exe、naprdmgr.exe、navapsvc.exe、navapw32.exe、
navw32.exe、nmain.exe、nod32.exe、nod32krn.exe、nod32kui.exe、npfmntor.exe、oasclnt.exe、pavsrv51.exe、pfw.exe、psctrls.exe、psimreal.exe、psimsvc.exe、qqdoctormain.exe、ras.exe、ravmon.exe、ravmond.exe、ravstub.exe、ravtask.exe、rfwcfg.exe、rfwmain.exe、rfwproxy.exe、rfwsrv.exe、rsagent.exe、rsmain.exe、rsnetsvr.exe、rssafety.exe、rstray.exe、safebank.exe、safeboxtray.exe、scan32.exe、scanfrm.exe、sched.exe、seccenter.exe、secnotifier.exe、SetupLD.exe、shstat.exe、smartup.exe、sndsrvc.exe、spbbcsvc.exe、symlcsvc.exe、tbmon.exe、uihost.exe、ulibcfg.exe、updaterui.exe、uplive.exe、vcr32.exe、vcrmon.exe、vptray.exe、vsserv.exe、vstskmgr.exe、vstskmgr.exe、webproxy.exe、xcommsvr.exe、xnlscn.exe、修复工具.exe

网络行为:
http://ipdown.poloi999***.cn/bbs/ggb1.txt
http://www.dy2004***.com/msn/mm.txt
http://www.ipshougou***.com/bbs/ggb1.txt (病毒下载备用地址)
描述:连接以上地址读取TXT列表容易按以下内容下载病毒文件并保存到磁盘
0:http://125.90.64.**/down/qqmm.exe|C:\uninstc.exe!
1:http://60.173.12.**/bbs/exe/1.exe|C:\uninst1.exe!
2:http://60.173.12.**/bbs/exe/2.exe|C:\uninst1.exe!
3:http://60.173.12.**/bbs/exe/3.exe|C:\uninst1.exe!
4:http://60.173.12.**/bbs/exe/4.exe|C:\uninst1.exe!
5:http://60.173.12.**/bbs/exe/5.exe|C:\uninst1.exe!
6:http://60.173.12.**/bbs/exe/6.exe|C:\uninst1.exe!
7:http://60.173.12.**/bbs/exe/7.exe|C:\uninst1.exe!
8:http://60.173.12.**/bbs/exe/8.exe|C:\uninst1.exe!
9:http://60.173.12.**/bbs/exe/9.exe|C:\uninst1.exe!
10:http://60.173.12.**/bbs/exe/10.exe|C:\uninst1.exe!
11:http://60.173.12.**/bbs/exe/11.exe|C:\uninst1.exe!
12:http://60.173.12.**/bbs/exe/12.exe|C:\uninst1.exe!
13:http://60.173.12.**/bbs/exe/13.exe|C:\uninst1.exe!
14:http://60.173.12.**/bbs/exe/14.exe|C:\uninst1.exe!
15:http://60.173.12.**/bbs/exe/15.exe|C:\uninst1.exe!
16:http://60.173.12.**/bbs/exe/16.exe|C:\uninst1.exe!
17:http://60.173.12.**/bbs/exe/17.exe|C:\uninst1.exe!
18:http://60.173.12.**/bbs/exe/18.exe|C:\uninst1.exe!
19:http://60.173.12.**/bbs/exe/19.exe|C:\uninst1.exe!
20:http://60.173.12.**/bbs/exe/20.exe|C:\uninst1.exe!
21:http://60.173.12.**/bbs/exe/21.exe|C:\uninst1.exe!
22:http://60.173.12.**/bbs/exe/22.exe|C:\uninst1.exe!
23:http://60.173.12.**/bbs/exe/23.exe|C:\uninst1.exe!
24:http://60.173.12.**/bbs/exe/24.exe|C:\uninst1.exe!
25:http://60.173.12.**/bbs/exe/25.exe|C:\uninst1.exe!
26:http://60.173.12.**/bbs/exe/26.exe|C:\uninst1.exe!
27:http://60.173.12.**/bbs/exe/27.exe|C:\uninst1.exe!
28:http://60.173.12.**/bbs/exe/28.exe|C:\uninst1.exe!
29:http://60.173.12.**/bbs/exe/29.exe|C:\uninst1.exe!
30:http://60.173.12.**/bbs/exe/30.exe|C:\uninst1.exe!
31:http://60.173.12.**/bbs/exe/31.exe|C:\uninst1.exe!
32:http://60.173.12.**/bbs/exe/32.exe|C:\uninst1.exe!
33:http://60.173.12.**/bbs/exe/33.exe|C:\uninst1.exe!
34:http://60.173.12.**/bbs/exe/34.exe|C:\uninst1.exe!
35:http://60.173.12.**/bbs/exe/35.exe|C:\uninst1.exe!
36:http://60.173.12.**/bbs/exe/36.exe|C:\uninst1.exe!
37:http://60.173.12.**/bbs/exe/37.exe|C:\uninst1.exe!
38:http://60.173.12.**/bbs/exe/38.exe|C:\uninst1.exe!
39:http://60.173.12.**/bbs/exe/39.exe|C:\uninst1.exe!
40:http://60.173.12.**/bbs/exe/40.exe|C:\uninst1.exe!
41:http://60.173.12.**/bbs/exe/41.exe|C:\uninst1.exe!
42:http://60.173.12.**/bbs/exe/42.exe|C:\uninst1.exe!
43:http://60.173.12.**/bbs/exe/43.exe|C:\uninst1.exe!
44:http://60.173.12.**/bbs/exe/44.exe|C:\uninst1.exe!
45:http://60.173.12.**/bbs/exe/45.exe|C:\uninst1.exe!
46:http://60.173.12.**/bbs/exe/46.exe|C:\uninst1.exe!
47:http://60.173.12.**/bbs/exe/47.exe|C:\uninst1.exe!
48:http://60.173.12.**/bbs/exe/48.exe|C:\uninst1.exe!
49:http://60.173.12.**/bbs/exe/49.exe|C:\uninst1.exe!
50:http://60.173.12.**/bbs/exe/50.exe|C:\uninst1.exe!
51:http://60.173.12.**/bbs/exe/51.exe|C:\uninst1.exe!
52:http://60.173.12.**/bbs/exe/52.exe|C:\uninst1.exe!
53:http://60.173.12.**/bbs/exe/53.exe|C:\uninst1.exe!
54:http://60.173.12.**/bbs/exe/54.exe|C:\uninst1.exe!
55:http://60.173.12.**/bbs/exe/55.exe|C:\uninst1.exe!
56:http://60.173.12.**/bbs/exe/56.exe|C:\uninst1.exe!
57:http://60.173.12.**/bbs/exe/57.exe|C:\uninst1.exe!
58:http://60.173.12.**/bbs/exe/58.exe|C:\uninst1.exe!
59:http://60.173.12.**/bbs/exe/59.exe|C:\uninst1.exe!
59:http://60.173.12.**/bbs/exe1/a59.exe|C:\uninst2.exe!
60:http://60.173.12.**/bbs/exe/60.exe|C:\uninst1.exe!
61:http://60.173.12.**/bbs/exe/61.exe|C:\uninst1.exe!
62:http://60.173.12.**/bbs/exe/62.exe|C:\uninst1.exe!
63:http://60.173.12.**/bbs/exe/63.exe|C:\uninst1.exe!
64:http://60.173.12.**/bbs/exe/64.exe|C:\uninst1.exe!
65:http://60.173.12.**/bbs/exe/65.exe|C:\uninst1.exe!
66:http://60.173.12.**/bbs/exe/66.exe|C:\uninst1.exe!
67:http://60.173.12.**/bbs/exe/67.exe|C:\uninst1.exe!
68:http://60.173.12.**/bbs/exe/68.exe|C:\uninst1.exe!
69:http://60.173.12.**/bbs/exe/69.exe|C:\uninst1.exe!
70:http://60.173.12.**/bbs/exe/70.exe|C:\uninst1.exe!
71:http://60.173.12.**/bbs/exe/71.exe|C:\uninst1.exe!
72:http://60.173.12.**/bbs/exe/72.exe|C:\uninst1.exe!
73:http://60.173.12.**/bbs/exe/73.exe|C:\uninst1.exe!
74:http://60.173.12.**/bbs/exe/74.exe|C:\uninst1.exe!
75:http://60.173.12.**/bbs/exe/75.exe|C:\uninst1.exe!
76:http://60.173.12.**/bbs/exe/76.exe|C:\uninst1.exe!
77:http://60.173.12.**/bbs/exe/77.exe|C:\uninst1.exe!
78:http://60.173.12.**/bbs/exe/78.exe|C:\uninst1.exe!
79:http://60.173.12.**/bbs/exe/79.exe|C:\uninst1.exe!
80:http://60.173.12.**/bbs/exe/80.exe|C:\uninst1.exe!
81:http://60.173.12.**/bbs/exe/81.exe|C:\uninst1.exe!
82:http://60.173.12.**/bbs/exe/82.exe|C:\uninst1.exe!
83:http://60.173.12.**/bbs/exe/83.exe|C:\uninst1.exe!
84:http://60.173.12.**/bbs/exe/84.exe|C:\uninst1.exe!
85:http://60.173.12.**/bbs/exe/85.exe|C:\uninst1.exe!
86:http://60.173.12.**/bbs/exe/86.exe|C:\uninst1.exe!
87:http://60.173.12.**/bbs/exe/87.exe|C:\uninst1.exe!
88:http://60.173.12.**/bbs/exe/88.exe|C:\uninst1.exe!
89:http://60.173.12.**/bbs/exe/89.exe|C:\uninst1.exe!
90:http://60.173.12.**/bbs/exe/90.exe|C:\uninst1.exe!
91:http://60.173.12.**/bbs/exe/91.exe|C:\uninst1.exe!
92:http://60.173.12.**/bbs/exe/92.exe|C:\uninst1.exe!
93:http://60.173.12.**/bbs/exe/93.exe|C:\uninst1.exe!
94:http://60.173.12.**/bbs/exe/94.exe|C:\uninst1.exe!
95:http://60.173.12.**/bbs/exe/95.exe|C:\uninst1.exe!
96:http://60.173.12.**/bbs/exe/96.exe|C:\uninst1.exe!
98:http://60.173.12.**/bbs/exe/98.exe|C:\uninst1.exe!
99:http://60.173.12.**/bbs/exe/99.exe|C:\uninst1.exe!
100:http://60.173.12.**/bbs/exe/100.exe|C:\uninst1.exe!

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%              WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                      \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL进程管理结束病毒进程。
(2) 强行删除病毒下载的大量病毒文件
%System32%\drivers\klan.sys
在其它机器上拷贝一个appmgmts.dll文件覆盖%System32%与%System32%\dllcache目录下的appmgmts.dll文件
(3)删除病毒创建的注册表服务及RUN启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的进程名\Debugger
值: 字符串: "ntsd -d"
删除Image File Execution Options键下被劫持的安全进程键值
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 17:24

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表