找回密码
 注册创意安天

Backdoor/Win32.Agent.pv分析

[复制链接]
发表于 2009-12-29 14:14 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Backdoor/Win32.Agent.pv
病毒类型: 后门
文件 MD5: EF9CAFD1FF3EAF6E828B034C8044198C
公开范围: 完全公开
危害等级: 4
文件长度: 761,344 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0

二、 病毒描述:
该恶意代码文件为灰鸽子变种后门类木马,病毒运行后Load资源加密信息,包括病毒要衍生的目录、名称、上线IP地址、端口、服务名等信息,判断自身文件名是否为IEXPLORE.EXE名,如果不是则判断自身文件路径是否为%Windir%\Hacker.com.cn.exe路径下的文件,如是则退出,如不是则创建互斥量防止病毒多次运行,遍历%Windir%目录查找Hacker.com.cn.exe文件是否存在,如果存在则退出!不存在则拷贝自身到该目录下,并将文件属性设置为隐藏,创建病毒注册表服务以服务方式启动病毒,添加注册表RUN启动项,弹出信息提示框(灰鸽子远程控制服务端安装成功!)的提示信息,衍生批BAT处理文件用于删除病毒源文件,开启一个IEXPLORE.EXE进程连接网络进程通信,被感染的用户电脑将被自动开启socks与HTTP代理,感染的计算机会被作者完全操控。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Windir%\Ha****.com.cn.exe

2、病毒运行后Load资源加密信息,包括病毒要衍生的目录、名臣、上线IP地址、端口、服务名等信息
7D71483ECB1A56B7DFB4884FCEA1D7E125558922255D79A522C1C3D421B361F61A9A68DB7EC3BE2F63E1E725 8E48010002373121D16F14E342C1F32DAC9F3B3527EEFD8B20F3009A0CE5E08E4079E61B371BE8EC002725AD 369FB32E1C5D1D500FE692E8DA4EE8D99779401140F928BE56698151CEFDCBCD449A90D670EAAF7D2D4177CC CFBFD1472BE6E31DAE38494CE5BDF65E8C5453C4276566142BAF95A6D8E23CF3EA4CDCF39636EBB4E079CD85 0FF853C4AABA2EBFFEE996A96E433DCE25FD94874BE4FAB79B410696BED2899B4D65345EF0EFC4F306678EA6 8F1A922981ABDEB787E4D163
解密后:
192.168.1.**| $(WinDir)\Ha****.com.cn.exe| 8000| GrayPigeon_Ha****.com.cn| 1080| guest| huigezi| 8080

3、弹出信息提示框(灰鸽子远程控制服务端安装成功!)的提示信息,衍生批BAT处理文件用于删除病毒源文件,开启一个IEXPLORE.EXE进程连接网络进程通信,被感染的用户电脑将被自动开启socks5与HTTP代理
socks5代理:
代理端口:1080
用户名:guest
密码:huigezi
http代理:
端口:8080

4、创建病毒服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Description
值: 字符串: "灰鸽子服务端程序。远程监控管理."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\DisplayName
值: 字符串: "GrayPigeon_Hacker.com.cn"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\ImagePath
值: 字符串: "C:\WINDOWS\Hacker.com.cn.exe.字符串: "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Type
值: DWORD: 272 (0x110)
描述:添加注册表服务
网络行为:
协议:TCP
端口:8000
IP地址:192.168.1.**
描述:连接到远程IP等待控制端发送控制指令

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%              WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                      \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“强行结束IEXPLORE.EXE进程
(2) 删除病毒文件%Windir%\Hacker.com.cn.exe
(3)删除病毒添加的服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Description
值: 字符串: "灰鸽子服务端程序。远程监控管理."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\DisplayName
值: 字符串: "GrayPigeon_Hacker.com.cn"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\ImagePath
值: 字符串: "C:\WINDOWS\Hacker.com.cn.exe.字符串: "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Type
值: DWORD: 272 (0x110)
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-26 00:53

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表