一、 病毒标签:
病毒名称: Trojan/Win32.Agent.aody[Clicker]
病毒类型: 木马
文件 MD5: B3C42330465458DE61C0476BE29CF6CE
公开范围: 完全公开
危害等级: 4
文件长度: 121,344 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
二、 病毒描述:
该恶意代码为木马类,病毒运行后,动态加载大量系统库文件,动态获取大量API函数,创建一个iexplore.exe进程,将地址00400000处病毒代码写入到该进程中,连接读取网页信息下载病毒文件。下载的病毒文件运行后复制自身并衍生DLL文件到%System32%目录下,添加注册表启动项,后台隐藏连接大量网站地址,从而达到点击网站从中获利的目的,病毒运行完毕后使用BAT批处理删除自身文件,被感染的用户会造成网速大大下降,影响了用户正常浏览网页。
三、 行为分析:
本地行为:
1、动态加载大量系统库文件,动态获取大量API函数,创建一个iexplore.exe进程,将地址00400000处病毒代码写入到该进程中,连接读取网页信息下载病毒文件,下载的病毒文件运行后会后台隐藏连接大量网站地址,病毒运行完毕后使用BAT批处理删除自身文件。
2、文件运行后会释放以下文件
%System32%\winset.ini
%System32%\zpce.exe (4位随机病毒名)
3、添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cftmon
值: 字符串: "C:\WINDOWS\system32\livk.exe"
描述:添加注册表启动项
网络行为:
协议:TCP
端口:80
连接域名地址:http://www.yahoomailchecking***.com/first.php
描述:连接以上地址按配置信息连接以下链接下载病毒文件
35http://www.netspond***.com/hgcheck.exe
一旦运行了下载的病毒文件,将后台隐藏连接大量网站地址按参数点击以下包含的网站
GET /getwork.php?machineid=8745522512521799452995760&pubuserid=kfc&checkversion=35 HTTP/1.1
Content-Type: text/html
Host: www.yahoomailchecking***.com
Accept: text/html, */*
HTTP/1.1 200 OK
Date: Tue, 05 May 2009 04:02:18 GMT
Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8b mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.8
X-Powered-By: PHP/5.2.8
Content-Length: 1609
Content-Type: text/html
http://www.yahoomailchecking***.com/http://www.qq-com-qb***.com/http://www.qqb365***.net/35http://www.netspond***.com/hgcheck.exe[open][1]http://www.google.com/[delay]2[open][1]http://www.lynxtrack***.com/afclick.php?o=8237&b=m6yp6g62&p=6802&l=1&c=67086,http://www.gpcconsulting***.net[delay]5[complete][1][delay]7[open][1]http://www.incentaclick***.com/nclick.php?id=27200&cid=6004,http://www.weightlossresearch***.biz[delay]8[complete][1][delay]5[open][1]http://click.linkstattrack***.com/zoneId/256519,http://www.trust42***.com[delay]8[complete][1][delay]6[open][1]http://www.thebizoppnetwork***.com/z/11879/CD171/,[delay]8[complete][1][delay]5[open][1]http://click.linkstattrack***.com/zoneId/258103,http://www.financeare***.com[delay]6[complete][1][delay]7[open][1]http://network***.triadmedianetwork.com/42/8180/19784/,http://www.fight-fat***.info[delay]3[complete][1][delay]5[open][1]http://www.consumerincentiverewards***.com/rd_p?p=173123&t=2863&c=34311-ipodtrv_728_pzhallepostbabya&a=Custom_Variable_For_This_Creative_Here,http://www.erasdirect.com[delay]6[complete][1][delay]7[open][1]http://www.onlinerewardcenter***.com/rd_p?p=173126&t=568&c=36304-xboxwiips3014_180_pzwhopari&a=Custom_Variable_For_This_Creative_Here,http://www.erasdirect***.com[delay]5[complete][1][delay]52024,2049,1982,2007,2081,2061,2067,2029,2025,
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)先打开Atool工具结束iexolore.exe进程
(2) 强行删除病毒衍生的文件
%System32%\winset.ini
%System32%\zpce.exe
(3)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cftmon
删除Run键下的cftmon键值 |
|
发表于 2009-5-18 11:36
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡