找回密码
 注册创意安天

Trojan-Downloader.Win32.Icehart.pi分析

[复制链接]
发表于 2011-3-16 16:44 | 显示全部楼层 |阅读模式
一、病毒标签
病毒名称: Trojan-Downloader.Win32.Icehart.pi
病毒类型: 下载者木马
文件 MD5: 2235E6A72448380CFE5FAF12C020D764
公开范围: 完全公开
危害等级: 4
文件长度: 224,768 字节
感染系统: Windows 2000以上版本
开发工具: Microsoft Visual C++ 6.0
二、病毒描述
该病毒为捆绑型木马,将一个下载者与QVOD的在线安装模块进行捆绑,当用户进行qvod的安装时,捆绑程序会同时释放下载者运行和qvod在线安装模块的运行。程序会在注册表中添加下载者的自启动项,开机启动下载者的Loader程序。此病毒的缺陷是会在%system32%下重复释放真正用来下载的恶意程序。
三、行为分析
本地行为:
1.病毒运行后获取用户临时目录%temp%,以IXP%03d.TMP的格式生成一个文件夹名,与%temp%组成一个完整路径,尝试删除该文件夹,然后以该路径创建文件夹,在%temp%\IXP%03d.TMP\文件夹下创建TMP4351$.TMP,然后对文件夹解密。在%temp%\IXP%03d.TMP\下新建文件QVODSE~1.EXE,修改文件创建时间。在%temp% \IXP%03d.TMP\下新建文件Setup4.EXE,修改文件创建时间。将%temp%\IXP%03d.TMP\添加到注册表自启动项RunOnce\wextract_cleanup%d,通过advpack.dll的DelNodeRunDLL32函数在重启的时候删除目录。新建一个进程运行QVODSE~1.EXE,等待进程结束,然后新建进程运行Setup4.EXE,等待进程结束,删除Setup4.EXE,删除QVODSE~1.EXE,遍历清空%temp%\IXP%03d.TMP\文件夹,删除RunOnce\wextract_cleanup%d,退出程序。
QVODSE~1.EXE分析,判断当前进程映像的全文件名是否为%system32%\system.exe,如果是则等待1分钟,不是则在% system32%下新建abcdef.exe(abcdef为n位随机字母)文件,通过WinExec执行abcdef.exe文件,然后将自身移动到%Windows%目录下改名为system.exe,最后结束当前进程。
abcdef.exe获取系统临时目录%temp%,添加注册表启动项开机启动system.exe,然后访问http://e14.ne***.com:8080/sc14/sc.png下载加密的链接,解密后得到地址,根据地址每隔1s钟去一个链接下载保存操临时目录然后运行。完成后访问http://e14.ne***.com:8080/?a=7709572&b=52681746&c=-7709671&d=MAC 回传信息,统计中马率。a,b,c的值是通过当前时间计算所得,d的值为机器的网卡物理地址。
Setup4.exe为Qvod在线安装模块。

2.文件运行后会释放以下文件
%system32%\system.exe
%system32%\abcdef.exe(abcdef为n位随机字母),而且重复释放

3.添加注册表启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
项:system
值: 字符串: “%system32%\system.exe”
描述:开机启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
项:wextract_cleanup%d
值: 字符串:“rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL3
2 %temp%\IXP%03d.TMP\”
描述:目录删除失败时重启后删除。”

网络行为:
协议:TCP
端口:8080
连接IP地址:125.211.211.***
描述:从http://e14.ne***.com:8080/sc14/sc.png读取加密下载列表,然后下载恶意软件,下面是恶意软件连接地址:
http://e14.ne***.com:8080/x31.jpg
http://e14.ne***.com:8080/01.jpg
http://e14.ne***.com:8080/16.jpg
http://e14.ne***.com:8080/04.jpg
http://e14.ne***.com:8080/09.jpg
http://e14.ne***.com:8080/05.jpg
http://e14.ne***.com:8080/08.jpg
http://e14.ne***.com:8080/03.jpg
http://e14.ne***.com:8080/07.jpg
http://e14.ne***.com:8080/17.jpg
http://e14.ne***.com:8080/12.jpg
http://e14.ne***.com:8080/22.jpg
http://e14.ne***.com:8080/18.jpg
http://e14.ne***.com:8080/13.jpg
http://e14.ne***.com:8080/14.jpg
http://e14.ne***.com:8080/11.jpg
http://e14.ne***.com:8080/24.jpg
http://e14.ne***.com:8080/28.jpg
http://e14.ne***.com:8080/30.jpg
http://e14.ne***.com:8080/t14.jpg
http://e14.ne***.com:8080/41.jpg

协议:TCP
端口:8080
连接域名服务器:e14.ne***.com:8080
连接以下地址向该地址提交数据:
GET /?a=7709572&b=52681746&c=-7709671&d=MAC

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir%                        WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                当前启动的系统的所在分区
%Documents and Settings%        当前用户文档根目录
%Temp%                        \Documents and Settings\当前用户\Local Settings\Temp
%System32%                系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
Windows95/98/me中默认的安装路径是%WINDOWS%\System
Windows XP中默认的安装路径是%system32%


四、清除方案
1.使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2.手工清除请按照行为分析删除对应文件,恢复相关系统设置。
1) 使用ATOOL管理工具,“进程管理”结束进程名为随机字母的进程,或者先执行第二步,如果遇到删不掉的文件,则找到对应的进程结束,然后删除文件。
2) 强行删除病毒文件
删除%system32%目录下的system.exe文件。
删除%system32%目录下大小为47,616 字节,文件名为n位随机字母的可执行程序。
3) 恢复注册表下项、删除病毒启动项
删除HLCM\Software\Microsoft\Windows\CurrentVersion\Run\下的system项。
删除HLCM\Software\Microsoft\Windows\CurrentVersion\RunOnce\下的wextract_cleanup%d。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-17 21:31

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表