Trojan/Win32.Agent.axop[stealer]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Agent.axop[stealer]
病毒类型： 盗号木马
文件 MD5： A927323AA0F9B0EA1BAEDBA0CCACD302
公开范围： 完全公开
危害等级： 4
文件长度： 23,525 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： NsPacK V3.7 -> LiuXingPing *

二、 病毒描述：
该病毒为传奇盗号木马，病毒运行后，遍历进程查找“alitte32.exe”，如找到则强行结束该进程，拷贝自身文件到%system32%目录下，重命名为：alitte32.exe，伪装成NVidia的Nview特性相关程序，并将文件属性设置为隐藏，动态获取NTDLL.DLL文件，获取该DLL文件时间，将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间，调用API函数创建%system32%目录下病毒进程，病毒运行完后删除自身，被调用的病毒文件运行后查找类名为“SHRTMIR”的窗体，找到之后衍生DLL病毒文件到%system32%目录下，动态加载病毒DLL文件、获取病毒DLL基础，并调用病毒DLL，枚举内核模块名“ntkrnlpa.exe”并加载该进程，创建病毒驱动文件到%system32%\Drivers目录下，并打开病毒服务，等待加载完毕后、删除病毒驱动文件，添加注册表RUN启动项，遍历进程查找360tray.exe进程、找到后强行结束该进程，历进程查找explorer.exe进程、找到后调用内核函数获取该进程句柄、修改进程的访问令牌，申请内存空间、将病毒DLL写到explorer.exe与svchost.exe进程中，并创建一个线程。DLL文件主要行为：查找类名“SAS Window class”的窗体，并向该窗体发送错误消息，查找游戏类名"TFrmMain"名称为"传奇加载"的窗体，找到后调用函数向该窗体发送消息，检测包含病毒预定的文字控件按钮、如匹配成功则删除该窗体的安全检测控件，使游戏安全检测项失效、以到达截取游戏帐户密码目的，通过URL方式发送到作者指定的地址中。

三、 行为分析：
本地行为:
1、遍历进程查找“alitte32.exe”，如找到则调用TerminateProcess函数强行结束该进程，动态获取NTDLL.DLL文件，获取该DLL文件时间，将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间，查找类名为“SHRTMIR”的窗体，找到之后衍生DLL病毒文件到%system32%目录下，动态加载病毒DLL文件、获取病毒DLL基础，并调用病毒DLL，枚举内核模块名“ntkrnlpa.exe”并加载该进程

2、文件运行后会释放以下文件
%system32%\drivers\cdaudio.sys
%system32%\dllcache\cdaudio.sys
%system32%\alitte32.exe
%system32%\ali1fc8e6.dll

3、添加注册表启动项、创建病毒服务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz
值: 字符串: "alitte32.exe"
描述：添加注册表病毒启动病毒

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\ImagePath
值: 字符串:"System32\Drivers\aliimz.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Type
值: DWORD: 1 (0x1)
描述：创建注册表病毒服务项

4、遍历进程查找360tray.exe进程、找到后强行结束该进程，历进程查找explorer.exe进程、找到后调用内核函数获取该进程句柄、修改进程的访问令牌，申请内存空间、利用API函数WriteProcessMemory将病毒DLL写到explorer.exe与svchost.exe进程中，并创建一个线程

5、DLL文件主要行为：调用API函数FindWindowA查找类名“SAS Window class”的窗体，并向该窗体发送错误消息，查找游戏类名"TFrmMain"名称为"传奇加载"的窗体，找到后调用函数向该窗体发送消息，检测包含病毒预定的文字控件按钮、如匹配成功则删除该窗体的安全检测控件，使游戏安全检测项失效、以到达截取游戏帐户密码目的

删除包含以下文件的控件按钮：
提示：为保护帐号安全，\n\n请您验证帐号身份信息。
提示：反外挂测试中，请输入动态密宝。
网络行为:
协议：TCP
端口：80
连接域名地址：www.zhangj****.cn /quake/a.asp
描述：连接域名发送游戏账户到病毒作者接收地址中，回传格式为：
tid=%s&nid=%s&id=%s&p=%s&a=%s&sv=%s&j1=%s.%s(%d)&j2=%s.%s(%d)&pn=%s&sys=%s&yb=%d&lf=%d&jgs=%d&mv=%d&mb=%d&sgn=%d&zb=%s

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　windowsXP中默认的安装路径是%system32%　　　


四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1）使用ATOOL管理工具，“进程管理“查找explorer.exe与svchost.exe进程中的病毒模块名“ali1fc8e6.dll”，找到该病毒模块强行结束
（2） 强行删除病毒文件
%system32%\drivers\cdaudio.sys
%system32%\dllcache\cdaudio.sys
%system32%\alitte32.exe
%system32%\ali1fc8e6.dll
（3）恢复注册表下项、删除病毒启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz
删除Run键下的nwiz键值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz
删除Services键下的aliimz主键值