一、病毒标签
病毒名称: Trojan-Downloader.Win32.Icehart.pi
病毒类型: 下载者木马
文件 MD5: 2235E6A72448380CFE5FAF12C020D764
公开范围: 完全公开
危害等级: 4
文件长度: 224,768 字节
感染系统: Windows 2000以上版本
开发工具: Microsoft Visual C++ 6.0
二、病毒描述
该病毒为捆绑型木马,将一个下载者与QVOD的在线安装模块进行捆绑,当用户进行qvod的安装时,捆绑程序会同时释放下载者运行和qvod在线安装模块的运行。程序会在注册表中添加下载者的自启动项,开机启动下载者的Loader程序。此病毒的缺陷是会在%system32%下重复释放真正用来下载的恶意程序。
三、行为分析
本地行为:
1.病毒运行后获取用户临时目录%temp%,以IXP%03d.TMP的格式生成一个文件夹名,与%temp%组成一个完整路径,尝试删除该文件夹,然后以该路径创建文件夹,在%temp%\IXP%03d.TMP\文件夹下创建TMP4351$.TMP,然后对文件夹解密。在%temp%\IXP%03d.TMP\下新建文件QVODSE~1.EXE,修改文件创建时间。在%temp% \IXP%03d.TMP\下新建文件Setup4.EXE,修改文件创建时间。将%temp%\IXP%03d.TMP\添加到注册表自启动项RunOnce\wextract_cleanup%d,通过advpack.dll的DelNodeRunDLL32函数在重启的时候删除目录。新建一个进程运行QVODSE~1.EXE,等待进程结束,然后新建进程运行Setup4.EXE,等待进程结束,删除Setup4.EXE,删除QVODSE~1.EXE,遍历清空%temp%\IXP%03d.TMP\文件夹,删除RunOnce\wextract_cleanup%d,退出程序。
QVODSE~1.EXE分析,判断当前进程映像的全文件名是否为%system32%\system.exe,如果是则等待1分钟,不是则在% system32%下新建abcdef.exe(abcdef为n位随机字母)文件,通过WinExec执行abcdef.exe文件,然后将自身移动到%Windows%目录下改名为system.exe,最后结束当前进程。
abcdef.exe获取系统临时目录%temp%,添加注册表启动项开机启动system.exe,然后访问http://e14.ne***.com:8080/sc14/sc.png下载加密的链接,解密后得到地址,根据地址每隔1s钟去一个链接下载保存操临时目录然后运行。完成后访问http://e14.ne***.com:8080/?a=7709572&b=52681746&c=-7709671&d=MAC 回传信息,统计中马率。a,b,c的值是通过当前时间计算所得,d的值为机器的网卡物理地址。
Setup4.exe为Qvod在线安装模块。
2.文件运行后会释放以下文件
%system32%\system.exe
%system32%\abcdef.exe(abcdef为n位随机字母),而且重复释放
3.添加注册表启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
项:system
值: 字符串: “%system32%\system.exe”
描述:开机启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\
项:wextract_cleanup%d
值: 字符串:“rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL3
2 %temp%\IXP%03d.TMP\”
描述:目录删除失败时重启后删除。”
网络行为:
协议:TCP
端口:8080
连接IP地址:125.211.211.***
描述:从http://e14.ne***.com:8080/sc14/sc.png读取加密下载列表,然后下载恶意软件,下面是恶意软件连接地址:
http://e14.ne***.com:8080/x31.jpg
http://e14.ne***.com:8080/01.jpg
http://e14.ne***.com:8080/16.jpg
http://e14.ne***.com:8080/04.jpg
http://e14.ne***.com:8080/09.jpg
http://e14.ne***.com:8080/05.jpg
http://e14.ne***.com:8080/08.jpg
http://e14.ne***.com:8080/03.jpg
http://e14.ne***.com:8080/07.jpg
http://e14.ne***.com:8080/17.jpg
http://e14.ne***.com:8080/12.jpg
http://e14.ne***.com:8080/22.jpg
http://e14.ne***.com:8080/18.jpg
http://e14.ne***.com:8080/13.jpg
http://e14.ne***.com:8080/14.jpg
http://e14.ne***.com:8080/11.jpg
http://e14.ne***.com:8080/24.jpg
http://e14.ne***.com:8080/28.jpg
http://e14.ne***.com:8080/30.jpg
http://e14.ne***.com:8080/t14.jpg
http://e14.ne***.com:8080/41.jpg
协议:TCP
端口:8080
连接域名服务器:e14.ne***.com:8080
连接以下地址向该地址提交数据:
GET /?a=7709572&b=52681746&c=-7709671&d=MAC
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
Windows95/98/me中默认的安装路径是%WINDOWS%\System
Windows XP中默认的安装路径是%system32%
四、清除方案
1.使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2.手工清除请按照行为分析删除对应文件,恢复相关系统设置。
1) 使用ATOOL管理工具,“进程管理”结束进程名为随机字母的进程,或者先执行第二步,如果遇到删不掉的文件,则找到对应的进程结束,然后删除文件。
2) 强行删除病毒文件
删除%system32%目录下的system.exe文件。
删除%system32%目录下大小为47,616 字节,文件名为n位随机字母的可执行程序。
3) 恢复注册表下项、删除病毒启动项
删除HLCM\Software\Microsoft\Windows\CurrentVersion\Run\下的system项。
删除HLCM\Software\Microsoft\Windows\CurrentVersion\RunOnce\下的wextract_cleanup%d。 |
|