一、 病毒标签:
病毒名称: Trojan-Downloader.Win32.Agent.asfz
病毒类型: 下载者木马
文件 MD5: 616FD070E842ECE173677C6A618D7712
公开范围: 完全公开
危害等级: 4
文件长度: 53,352 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0 [Overlay]
二、 病毒描述:
该病毒为下载者类病毒,病毒运行后,衍生病毒文件“manun.exe”到%temp%目录下,并调用API函数打开manun.exe病毒文件,拷贝自身到%System32%目录下,重命名为:“aston.mt”,动态获取urlmon.dll并加载该动态连接库文件,判断%Windir%目录下是否存在“ynh.dx”文件,如存在则调用API函数结束自身进程;如不存在则创建该病毒文件,获取%System32%目录并删除该目录下的“paso.el”文件,拷贝自身到到该目录下,重命名为:“paso.el”,动态获取API函数,连接网络下载文件,并将下载的病毒文件保存到%temp%目录下,修改本地hosts文件劫持多个域名连接,病毒运行后删除自身文件。
manun.exe行为分析:遍历进程查找“winlogon.exe”、枚举内核模块,将%System32%目录下的user32.dll拷贝一份到该目录下重命名为:ppdcn(随机变化),修改ppdcn文件数据,拷贝%System32%目录下的ppdcn文件到%system32%\dllcache目录下,并命名为:user32.dll,拷贝%System32%目录下的ppdcn文件替换该目录下的user32.dll,完成后删除ppdcn文件,衍生病毒文件nvaux32.dll到%System32%目录下、修改注册表、添加注册表启动项,调用API函数动态加载nvaux32.dll病毒文件,使部分安全软件按扭变为安静状态、不弹拦截提示消息,试图连接网络的提交数据。
病毒随机修改user32.dll中AppInit的前两个字母,利用修改后的注册表关联键值启动病毒文件nvaux32.dll,以使安全工具无法通过AppInit查看被加载的DLL。
三、 行为分析:
本地行为:
1、动态获取urlmon.dll并加载该动态连接库文件,调用PathFileExistsA函数判断%Windir%目录下是否存在“ynh.dx”文件,如存在则调用API函数结束自身进程;如不存在则创建该病毒文件,动态获取API函数、连接网络下载文件,并将下载的病毒文件保存到%temp%目录下,修改本地hosts文件劫持多个域名连接
2、文件运行后会释放以下文件
%system32%\drivers\etc\hosts
%system32%\dllcache\user32.dll
%system32%\xyyxzf
%system32%\nvaux32.dll
%system32%\user32.DLL
%system32%\fxe.sp
%system32%\aston.mt
%system32%\paso.el
%system32%\twext.exe
%system32%\twain_32\local.ds
%system32%\twain_32\user.ds
%WINdir%\ynh.dx
%c:\Documents and Settings%\LocalService\Application Data\twain_32\user.ds
%c:\Documents and Settings%\a\Local Settings\Temp\manun.exe
%c:\Documents and Settings%\a\Local Settings\Temp\res.exe
%c:\Documents and Settings%\a\Local Settings\Temp\B040.tmp
%c:\Documents and Settings%\a\Local Settings\Temp\ldr.exe
3、修改注册表、添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字符串: "%system32%\userinit.exe,%system32%\twext.exe,"
旧: 字符串: "%system32%\userinit.exe,"
描述:修改注册表使用userinit.exe启动病毒
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\kbpInit_Dlls
值: 字符串: "nvaux32"
描述:添加注册表AppInit_Dlls启动项
4、将%System32%目录下的user32.dll拷贝一份到该目录下重命名为:ppdcn,修改user32.dll文件数据,被修改的数据地址为:00872C38数据为:"AppInit_",修改后的数据为:"kbpInit_"(随机变化),衍生病毒文件nvaux32.dll到%System32%目录下,拷贝%System32%目录下的ppdcn文件到%system32%\dllcache目录下,命名为:user32.dll。拷贝%System32%目录下的ppdcn文件替换该目录下的user32.dll、完成后删除ppdcn文件,调用API函数动态加载nvaux32.dll病毒文件。
5、使部分安全软件按扭为安静状态、不弹拦截提示消息,试图连接网络向http://m***.ru提交数据(未实现),使以下安全软件操作按扭为安静状态不弹拦截、提示消息:
lspfix.exe、kavpf.exe、zlclient.exe、zlclient.exe、avgcc.exe、zlclient.exe、outpost.exe、zlclient.exe、avgcc.exe、kpf4ss.exe、kavpf.exe、mpfsrv.exe、kpf4ss.exe、mpfsrv.exe、avgcc.exe
网络行为:
协议:TCP
端口:80
连接IP地址:77.221.133.***
描述:连接IP地址下载恶意病毒文件,发送GET信息请求下载以下病毒文件:
GET /.c/res.exe
GET /.c/o/ldr.exe
GET /.c/o/cfg.bin
协议:TCP
端口:5613
连接域名服务器:garbage2collec***.net:5613
连接以下地址向该地址提交数据:
POST /sm***/dasis.php?btn=a_738df22c9ca04_000eb561&q=O33B
POST/sm***/dasis.php?zip=a_738df22c9ca04_000eb561&type=1&name=16843523&q=O33B&item=0&id
=0&rdp=0
注: %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具中的“进程管理”结束manun.exe进程
(2) 强行删除病毒文件
%system32%\drivers\etc\hosts
%system32%\dllcache\user32.dll
%system32%\xyyxzf
%system32%\nvaux32.dll
%system32%\user32.DLL
%system32%\fxe.sp
%system32%\aston.mt
%system32%\paso.el
%system32%\twext.exe
%system32%\twain_32\local.ds
%system32%\twain_32\user.ds
%WINdir%\ynh.dx
%c:\Documents and Settings%\LocalService\Application Data\twain_32\user.ds
%c:\Documents and Settings%\a\Local Settings\Temp\manun.exe
%c:\Documents and Settings%\a\Local Settings\Temp\res.exe
%c:\Documents and Settings%\a\Local Settings\Temp\B040.tmp
%c:\Documents and Settings%\a\Local Settings\Temp\ldr.exe
(3)恢复注册表下项,删除病毒启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字符串: "%system32%\userinit.exe,%system32%\twext.exe,"
旧: 字符串: "%system32%\userinit.exe,"
恢复注册表旧值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\ kbpInit_Dlls
值: 字符串: "nvaux32"
删除Windows键下的kbpInit_Dlls键值
(4)恢复hosts、user32.dll系统文件
使用记事本打开hosts文件删除被劫持的域名及IP地址,user32.dll文件可以在其它电脑拷贝一个文件覆盖%System32%目录下的user32.dll文件 |