一、 病毒标签:
病毒名称: Trojan/win32.Agent.dbr[Rootkit]
病毒类型: 木马
文件 MD5: 9837DB2A3FACAE95A3F8267BBB6466BB
公开范围: 完全公开
危害等级: 4
文件长度: 27,904 字节
感染系统: Windows98以上版本
加壳类型: Upack V0.37 -> Dwing
二、 病毒描述:
该恶意文件为木马类,病毒运行后,动态加载系统DLL文件"msvcrt.dll",该DLL是标准的微软C运行库文件,创建线程、遍历进程查找“avp.exe”找到之后退出线程,如没发现“avp.exe”进程则提升进程操作权限,衍生病毒驱动文件到%System32\drivers\目录下,命名为“kvsys.sys”、“tesafe.sys”,该驱动文件删除部分安全软件服务、终止部分安全软件进程、恢复SSDT躲避杀软主动查杀,创建病毒驱动设备名为:“\\.\kvsys”、“\\.\tesafe”,删除本地“hosts”文件、并从新创建一个hosts文件,劫持大量域名地址,添加病毒注册表服务,衍生病毒文件“fsrtdfyyvuu.exe"到临时目录下,调用函数打开衍生的病毒文件,获取磁盘启动器类型,遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量“usp10.dll”文件,病毒运行完后后删除自身
三、 行为分析:
本地行为:
1、动态加载系统DLL文件"msvcrt.dll",该DLL是标准的微软C运行库文件,创建线程、遍历进程查找“avp.exe”找到之后退出线程,如没发现“avp.exe”进程则提升进程操作权限
2、文件运行后会释放以下文件
%System32%\drivers\etc\hosts 删除本地hosts文件,并从新释放劫持大量域名
%System32%\drivers\kvsys.sys 该驱动文件恢复SSDT躲避部分安全软件主动防御
%System32%\drivers\tesafe.sys 该驱动文件删除部分安全软件服务结束部分安全软件进程
%Windir%\Fonts\System32.exe
%Documents and Settings%\当前所在用户\Local Settings\Temp\fsrtdfyyvuu.exe
3、添加注册表
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\DisplayName
值: 字符串: "腾讯驱动"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\ImagePath
值: 字符串: "\??\%System32%\drivers\tesafe.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe\Type
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\DisplayName
值: 字符串: "windows启动必须的系统文件"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\ImagePath
值: 字符串: "\??\%System32%\drivers\kvsys.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys\Type
值: DWORD: 1 (0x1)
描述:添加病毒注册表服务
4、删除部分安全软件服务、终止部分安全软件进程、恢复SSDT躲避杀软主动查杀,创建病毒驱动设备名为:“\\.\kvsys”、“\\.\tesafe”,删除本地“hosts”文件、并从新创建一个hosts文件,劫持大量域名地址,获取磁盘启动器类型,遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量“usp10.dll”文件,被劫持的域名有:
127.0.0.** c0mo**.com
127.0.0.** gxgxy**.net
127.0.0.** 444.gmwo07**.com
127.0.0.** 333.gmwo07**.com
127.0.0.** 222.gmwo07**.com
127.0.0.** 111.gmwo07**.com
127.0.0.** haha.yaoyao09**.com
127.0.0.** www.noseqing**.cn
127.0.0.** fg.pvs360**.com
127.0.0.** cw.pvs360**.com
127.0.0.** ta.pvs360**.com
127.0.0.** dl.pvs360**.com
127.0.0.** ok.sl8cjs**.cn
127.0.0.** nc.mskess**.com
127.0.0.** idc.windowsupdeta**.cn
127.0.0.** pvs360**.com
127.0.0.** sl8cjs**.cn
127.0.0.** windowsupdeta**.cn
127.0.0.** up.22x44**.com
127.0.0.** my.531jx**.cn
127.0.0.** nx.51ylb**.cn
127.0.0.** llboss**.com
127.0.0.** down.malasc**.cn
127.0.0.** d2.llsging**.com
127.0.0.** 171817.171817**.com
127.0.0.** wg.47255**.com
127.0.0.** www.tomwg**.com
127.0.0.** tp.shpzhan**.cn
127.0.0.** 1.joppnqq**.com
127.0.0.** xx.exiao01**.com
127.0.0.** www.22aaa**.com
127.0.0.** ilove**.com
127.0.0.** xxx.mmma**.biz
127.0.0.** www.868wg**.com
127.0.0.** 2.joppnqq**.com
127.0.0.** 1.jopanqc**.com
127.0.0.** yu.8s7**.net
127.0.0.** 1.jopmmqq**.com
127.0.0.** cao.kv8**.info
127.0.0.** xtx.kv8**.info
127.0.0.** new.749571**.com
127.0.0.** xxx.vh7**.biz
127.0.0.** 1.jopenkk**.com
127.0.0.** d.93se**.com
127.0.0.** 3.joppnqq**.com
127.0.0.** xxx.j41m**.com
127.0.0.** 1.jopenqc**.com
127.0.0.** xxx.m111**.biz
127.0.0.** down.18dd**.net
127.0.0.** www.333292**.com
127.0.0.** qqq.hao1658**.com
127.0.0.** qqq.dzydhx**.com
127.0.0.** www.exiao01**.com
127.0.0.** www.cike007**.cn
127.0.0.** v.onondown**.com.cn
127.0.0.** ymsdasdw1**.cn
127.0.0.** h96b**.info
127.0.0.** fuck.zttwp**.cn
127.0.0.** www.hackerbf**.cn
127.0.0.** geekbyfeng**.cn
127.0.0.** 121.14.101.**
127.0.0.** ppp.etimes888**.com
127.0.0.** www.bypk**.com
127.0.0.** CSC3-2004-crl.verisign**.com
127.0.0.** va9sdhun23**.cn
127.0.0.** udp.hjob123**.com
127.0.0.** bnasnd83nd**.cn
127.0.0.** www.gamehacker**.com.cn
127.0.0.** gamehacker**.com.cn
127.0.0.** adlaji**.cn
127.0.0.** 858656**.com
127.1.1.1 bnasnd83nd**.cn
127.0.0.** my123**.com
127.0.0.** user1.12-27**.net
127.0.0.** 8749**.com
127.0.0.** fengent**.cn
127.0.0.** 4199**.com
127.0.0.** user1.16-22**.net
127.0.0.** 7379**.com
127.0.0.** 2be37c5f.3f6e2cc5f0b**.com
127.0.0.** 7255**.com
127.0.0.** user1.23-12**.net
127.0.0.** 3448**.com
127.0.0.** www.guccia**.net
127.0.0.** 7939**.com
127.0.0.** a.o1o1o1**.nEt
127.0.0.** 8009**.com
127.0.0.** user1.12-73**.cn
127.0.0.** piaoxue**.com
127.0.0.** 3n8nlasd**.cn
127.0.0.** kzdh**.com
127.0.0.** www.sony888**.cn
127.0.0.** about.blank**.la
127.0.0.** user1.asp-33**.cn
127.0.0.** 6781**.com
127.0.0.** www.netkwek**.cn
127.0.0.** 7322**.com
127.0.0.** ymsdkad6**.cn
127.0.0.** localhost**
127.0.0.** www.lkwueir**.cn
127.0.0.** 06.jacai**.com
127.0.1.** user1.23-17**.net
127.0.0.** 1.jopenkk**.com
127.0.0.** upa.luzhiai**.net
127.0.0.** 1.jopenqc**.com
127.0.0.** www.guccia**.net
127.0.0.** 1.joppnqq**.com
127.0.0.** 4m9mnlmi**.cn
127.0.0.** 1.xqhgm**.com
127.0.0.** mm119mkssd**.cn
127.0.0.** 100.332233**.com
127.0.0.** 61.128.171.***:8080
127.0.0.** 121.11.90. **
127.0.0.** www.1119111**.com
127.0.0.** 121565**.net
127.0.0.** win.nihao69**.cn
127.0.0.** 125.90.88. **
127.0.0.** 16888.6to23**.com
127.0.0.** 2.joppnqq**.com
127.0.0.** puc.lianxiac. **net
127.0.0.** 204.177.92.**
127.0.0.** pud.lianxiac**.net
127.0.0.** 210.74.145.***
127.0.0.** 210.76.0.***
127.0.0.** 219.129.239.***
127.0.0.** 61.166.32. **
127.0.0.** 219.153.40.***
127.0.0.** 218.92.186. **
127.0.0.** 219.153.46. **
127.0.0.** www.fsfsfag**.cn
127.0.0.** 219.153.52. ***
127.0.0.** ovo.ovovov**.cn
127.0.0.** 221.195.42. **
127.0.0.** dw**.com.com
127.0.0.** 222.73.218.***
127.0.0.** 203.110.168.***:80
127.0.0.** 3.joppnqq**.com
127.0.0.** 203.110.168.***:80
127.0.0.** 363xx**.com
127.0.0.** www1.ip10086**.com.cm
127.0.0.** 4199**.com
127.0.0.** blog.ip10086**.com.cn
127.0.0.** 43242**.com
127.0.0.** www.ccji68**.cn
127.0.0.** 5.xqhgm**.com
127.0.0.** t.myblank**.cn
127.0.0.** 520.mm5208**.com
127.0.0.** x.myblank**.cn
127.0.0.** 59.34.131. **
127.0.0.** 210.51.45. **
127.0.0.** 59.34.198. ***
127.0.0.** www.ew1q**.cn
127.0.0.** 59.34.198. **
127.0.0.** 59.34.198. **
127.0.0.** 60.190.114. ***
127.0.0.** 60.190.218. **
127.0.0.** qq-xing**.com.cn
127.0.0.** 60.191.124.***
127.0.0.** 61.145.117. ***
127.0.0.** 61.157.109. ***
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 59.125.231. ***:17777
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 75.126.3. ***
127.0.0.** 772630**.com
127.0.0.** 832823**.cn
127.0.0.** 8749**.com
127.0.0.** 888.jopenqc**.com
127.0.0.** 89382**.cn
127.0.0.** 8v8**.biz
127.0.0.** 97725**.com
127.0.0.** 9gg**.biz
127.0.0.** www.9000music**.com
127.0.0.** test.591jx**.com
127.0.0.** a.topxxxx**.cn
127.0.0.** picon.chinaren**.com
127.0.0.** www.5566**.net
127.0.0.** p.qqkx**.com
127.0.0.** news.netandtv**.com
127.0.0.** z.neter888**.cn
127.0.0.** b.myblank**.cn
127.0.0.** wvw.wokutu**.com
127.0.0.** unionch.qyule**.com
127.0.0.** www.qyule**.com
127.0.0.** it.itjc**.cn
127.0.0.** www.linkwww**.com
127.0.0.** vod.kaicn**.com
127.0.0.** www.tx8688**.com
127.0.0.** b.neter888**.cn
127.0.0.** promote.huanqiu**.com
127.0.0.** www.huanqiu**.com
127.0.0.** www.haokanla**.com
127.0.0.** play.unionsky**.cn
127.0.0.** www.52v**.com
127.0.0.** www.gghka**.cn
127.0.0.** icon.ajiang**.net
127.0.0.** new.ete**.cn
127.0.0.** www.stiae**.cn
127.0.0.** o.neter888**.cn
127.0.0.** comm.jinti**.com
127.0.0.** www.google-analytics**.com
127.0.0.** hz.mmstat**.com
127.0.0.** www.game175**.cn
127.0.0.** x.neter888**.cn
127.0.0.** z.neter888**.cn
127.0.0.** p.etimes888**.com
127.0.0.** hx.etimes888**.com
127.0.0.** abc.qqkx**.com
127.0.0.** dm.popdm**.cn
127.0.0.** www.yl9999**.com
127.0.0.** www.dajiadoushe**.cn
127.0.0.** v.onondown**.com.cn
127.0.0.** www.interoo**.net
127.0.0.** bally1.bally-bally**.net
127.0.0.** www.bao5605509**.cn
127.0.0.** www.rty456**.cn
127.0.0.** www.werqwer**.cn
127.0.0.** 1.360-1**.cn
127.0.0.** user1.23-16**.net
127.0.0.** www.guccia**.net
127.0.0.** www.interoo**.net
127.0.0.** upa.netsool**.net
127.0.0.** js.users.51**.la
127.0.0.** vip2.51**.la
127.0.0.** web.51**.la
127.0.0.** qq.gong2008**.com
127.0.0.** 2008tl.copyip**.com
127.0.0.** tla.laozihuolaile**.cn
127.0.0.** www.tx6868**.cn
127.0.0.** p001.tiloaiai**.com
127.0.0.** s1.tl8tl**.com
127.0.0.** s1.gong2008**.com
127.0.0.** 4b3ce56f9g.3f6e2cc5f0b**.com
127.0.0.** 2be37c5f.3f6e2cc5f0b**.com
#360
127.0.0.** 59.53.87.101
127.0.0.** 125.46.1.226
127.0.0.** www.360.cn
127.0.0.** www.360safe.com
127.0.0.** sd.360.cn
127.0.0.** bbs.360safe.com
5、获取磁盘启动器类型,遍历目录查找所有后缀是EXE的目录并却是非系统盘的可执行文件中释放大量“usp10.dll”文件,终止部分安全软件进程,如发现进程中存在以下进程则调用内核函数强行终止其进程:
360Tray.exe、360Safe.exe、safeboxTray.exe、360realpro.exe、360upp.exe、RavMonD.exe、CCenter.exe、Ravtask.exe、rsnetsvr.exe、rsTray.exe、kissvc.exe、kwatch.exe、kpfwsvc.exe、
kavstart.exe、kmailmon.exe、kpfw32.exe、kasmain.exe、ksamain.exe、kaccore.exe、egui.exe、ekrn.exe、mainpro.exe、annexpro.exe、KVSrvXP.exe、KVSysCheck.exe、KVMonXP.kxp、KVPreScan.kxp
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 强行删除病毒衍生的文件
%System32%\drivers\etc\hosts
%System32%\drivers\kvsys.sys
%System32%\drivers\tesafe.sys
%Windir%\Fonts\System32.exe
%Documents and Settings%\当前所在用户\Local Settings\Temp\fsrtdfyyvuu.exe
(2)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tesafe
删除Services键下的tesafe主键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kvsys
删除Services键下的kvsys主键值 |
|
发表于 2009-4-7 15:58
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡