一、 病毒标签:
病毒名称: Trojan/Win32.Buzus.arqx[Proxy]
病毒类型: 木马
文件 MD5: FB367C916F23FD046C1C551A2280DFC4
公开范围: 完全公开
危害等级: 4
文件长度: 82,950 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
二、 病毒描述:
该恶意代码为木马类,该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找00401000内存空间地址,比较是否是1000,申请内存空间将00400000地址的病毒代码写入到内存空间,在进程创建线程释放病毒文件到%System32%目录下,在%System32%目录下新添加lowsec目录,衍生“local.ds”、“user.ds”到该目录下,修改注册表使用系统文件达到启动病毒,连接网络访问请求并发送数据,该病毒通过SMTP引擎群发邮件进行传播。
三、 行为分析:
本地行为:
1、该病毒文件对API函数进行了加密处理,病毒运行后解密部分API函数,将自身创建到进程中,读取内存MZP标志,查找00401000内存空间地址,比较是否是1000,申请内存空间将00400000地址的病毒代码写入到内存空间
2、文件运行后会释放以下文件
%System32%\sdra64.exe
%System32%\lowsec\local.ds
%System32%\lowsec\user.ds
3、修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字符串: "%System32%\userinit.exe,%System32%\sdra64.exe,"
旧: 字符串: "%System32%\userinit.exe,"
描述:修改注册表使用userinit.exe系统文件启动病毒
网络行为:
协议:TCP
端口:80
连接IP地址:
描述:连接以上域名请求以下数据
HM.C?晍Y?蛵盜\9屃攀?[鳷冶X??1??鎘.%."?9瑤d皜?H,磒.^$)?:q佛
?薭啛瞦嬱
)/C蟫2臐jD齏?^=2篜6偅蠂'[輔rT`勗侇袩@宵锦椣锪X樘?骟?Z*剶 兽)穎涗5判戭Z胊IJ欙?鞧艕せ*4汔幌i遚C 菅-?W<锿?@K窨氣?J¬
鞈2gD墝P? 鳫a/pXe
协议:TCP
端口:80
连接IP地址: http://92.62.101.3**/phpbb/dir.php
描述:连接以上域名发送以下数据
M.C?晍Y羝蛵S摵珃
嘨慚礲?`歓?1??鎘.9."豵d櫦~氭??
i凞qJ頾{6ω ?鵏碍(傾好8 ?PΣ-?澐p\J遱x |
|