创意安天

 找回密码
 注册创意安天

Trojan/ Win32.Small.kvy[Downloader]分析

[复制链接]
发表于 2010-12-31 11:33 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Trojan/ Win32.Small.kvy[Downloader]
病毒类型: 木马下载器
文件 MD5: 39282395C4E6043422C7A06D6251AC52
公开范围: 完全公开
危害等级: 3
文件长度: 3,712 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0

二、 病毒描述:
该恶意代码文件为木马下载器,病毒运行后会衍生多个病毒DLL文件到系统目录下,并将DLL注入到SVCHOST.EXE进程中然后连接网络读取加密URL列表信息,然后进行解密后会依次连接解密后的URL连接网络下载伪杀毒软件,然后把伪杀毒软件保存到临时目录下,添加注册表启动项,伪杀毒软件下载完毕后会自动安装并且自动扫描磁盘,显示当前系统存在安全隐患,要求用户清除不存在的安全威胁,当用户点击清除按钮就会连接到指定的URL地址要求用户付费后才可以使用清除功能,以此手段来骗取用户的钱财。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%\system32%\cryptnet32.dll
%\system32%\shimg.dll
%\system32%\dll.dll
%\system32%\crt.dat
%\Temp%\mmavcwhhw\bjpapdelajb.exe           

2、该恶意代码运行后动态获取API函数,初始化soket连接69.50.192.***服务器,连接失败则退出,连接成功后向该服务器发送GET请求数据,数据是加密的,读取到内存中每次字节与EF进行异或解密出明文,解密后得到以下3个URL地址:
http://69.50.192.***/data/upd12.dat
http://69.50.192.***/user/up/sl
http://69.50.192.***/user/up/xl3.dat

3、病毒会访问解密出的URL地址去下载伪杀毒软件,在%TEMP%临时目录下衍生一个_14.tmp文件,并创建其进程衍生的这个文件一旦运行后会在%System32%目录下衍生一个dll.dll的病毒文件,然后创建一个线程、遍历进程查找SVCHOST.EXE进程,删除%System32%目录下的crt.dat,打开%System32%目录下SVCHOST.EXE文件,获取文件大小、通过内存映射将SVCHOST.EXE文件映射到内存中并查找是否有dll.dll的字串,可能是用来判断是否已经将DLL.DLL注入到该进程中,在%System32%目录下衍生crt.dat文件,将dll.dll病毒文件利用远程线程方式注入到SVCHOST.EXE进程中。

4、添加注册表启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\uvkdpnmg
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\mmavcwhhw\bjpapdelajb.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\DllName
值: 字符串: "cryptnet32.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\Logoff
值: 字符串: "WinlogonLogoffEX"

5、病毒DLL被注入之后会连接网络下载伪杀毒软件,下载后将其保存到临时目录下命名为随机的文件名,下载完毕后自动运行并添加注册表启动项、扫描出多个不存在的安全威胁来恐吓用户电脑存在安全隐患

要求用户清除

当用户点击清除按钮后会连接到http://softwareea.com/shop?abc=cGdpZD04JnI9ODMuMA==

要求用户购买。

网络行为:
病毒会连接以下URL下载伪杀毒软件:
http://69.50.192.***/user/xl3.php        读取解密URL列表
http://69.50.192.***/data/upd12.dat        下载伪杀毒软件

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%              WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                      \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”关闭伪杀毒软件进程
(2) 强行删除病毒文件
%\system32%\cryptnet32.dll
%\system32%\shimg.dll
%\system32%\dll.dll
%\system32%\crt.dat
%\Temp%\mmavcwhhw\bjpapdelajb.exe
(3) 删除病毒添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\uvkdpnmg
值: 字符串: "C:\DOCUME~1\a\LOCALS~1\Temp\mmavcwhhw\bjpapdelajb.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\DllName
值: 字符串: "cryptnet32.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32\Logoff
值: 字符串: "WinlogonLogoffEX"
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-2-21 15:54

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表