Trojan/Win32.Buzus.arqx[Proxy]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Buzus.arqx[Proxy]
病毒类型： 木马
文件 MD5： FB367C916F23FD046C1C551A2280DFC4
公开范围： 完全公开
危害等级： 4
文件长度： 82,950 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

二、 病毒描述：
该恶意代码为木马类，该病毒文件对API函数进行了加密处理，病毒运行后解密部分API函数，将自身创建到进程中，读取内存MZP标志，查找00401000内存空间地址，比较是否是1000，申请内存空间将00400000地址的病毒代码写入到内存空间，在进程创建线程释放病毒文件到%System32%目录下，在%System32%目录下新添加lowsec目录，衍生“local.ds”、“user.ds”到该目录下，修改注册表使用系统文件达到启动病毒，连接网络访问请求并发送数据，该病毒通过SMTP引擎群发邮件进行传播。

三、 行为分析：
本地行为:
1、该病毒文件对API函数进行了加密处理，病毒运行后解密部分API函数，将自身创建到进程中，读取内存MZP标志，查找00401000内存空间地址，比较是否是1000，申请内存空间将00400000地址的病毒代码写入到内存空间

2、文件运行后会释放以下文件
%System32%\sdra64.exe
%System32%\lowsec\local.ds
%System32%\lowsec\user.ds              

3、修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字符串: "%System32%\userinit.exe,%System32%\sdra64.exe,"
旧: 字符串: "%System32%\userinit.exe,"
描述：修改注册表使用userinit.exe系统文件启动病毒
        
网络行为:
协议：TCP
端口：80
连接IP地址：
描述：连接以上域名请求以下数据
HM.C?晍Y?蛵盜\9屃攀?[鳷冶X??1??鎘.%."?9瑤d皜?H,磒.^$)?:q佛
?薭啛瞦嬱
)/C蟫2臐jD齏?^=2篜6偅蠂'[輔rT`勗侇袩@宵锦椣锪X樘?骟?Z*剶        兽)穎涗5判戭Z胊IJ欙?鞧艕せ*4汔幌i遚C 菅-?W<锿?@K窨氣?J&not;
鞈2gD墝P? 鳫a/pXe

协议：TCP
端口：80
连接IP地址： http://92.62.101.3**/phpbb/dir.php
描述：连接以上域名发送以下数据
M.C?晍Y羝蛵S摵珃
嘨慚礲?`歓?1??鎘.9."豵d櫦~氭??
i凞qJ頾{6ω ?鵏碍(傾好8 ?PΣ-?澐p\J遱x