找回密码
 注册创意安天

Trojan-PSW.Win32.OnLineGames.ajdc分析

[复制链接]
发表于 2008-6-3 11:48 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.ajdc
病毒类型: 下载者木马
文件 MD5: 6AE29B706D63C9CD8B14622F3EFF102F
公开范围: 完全公开
危害等级: 4
文件长度: 15,756 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing

二、 病毒描述:
该病毒为下载者木马类,病毒运行后衍生ctfmon.exe到%Windir%目录下,测试是否能访问[url=www.google.cn或www.baidu.com]www.google.cn或www.baidu.com[/url],
如能访问则连接网络读取列表下载大量恶意文件,并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在
BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱动穿以下还原系统,GUARDFIELD.EXE(360还原保护器)、
BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序),
将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将Explorer.exe进程结束后加载%System32%目录下的
Explorer.exe,并感染%Windir%目录下的Explorer.exe文件,该病毒调用IsDebuggerPresent检测反调试器,如发现反调试器
则调用shutdown函数立即执行关闭计算机操作,病毒运行后创建emsf3.bat文件并调用其删除自身。

三、 行为分析:
本地行为:
1、文件运行后会释放以下文件:
%Windir%\ctfmon.exe                     5,148 字节
2、测试是否能访问[url=www.google.cn或www.baidu.com]www.google.cn或www.baidu.com[/url],如能访问则连接网络读取http://jqm.htitm5kn.cn/1.txt列表信息下载大量
   恶意文件。
3、并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱
动穿以下还原系统,GUARDFIELD.EXE(360还原保护器)、BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE
(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序)。
4、将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将Explorer.exe进程结束后加载%System32%目录下的
   Explorer.exe,并感染%Windir%目录下的Explorer.exe文件。
5、该病毒调用IsDebuggerPresent检测反调试器,如发现反调试器则调用shutdown函数立即执行关闭计算机操作,病毒运行后
   创建emsf3.bat文件并调用其删除自身。

网络行为:
1、协议:TCP
端口:80
连接服务器名: http://jqm.htit****.cn/1.txt
IP地址:61.164.145.**
描述:连接网络读取TXT列表下载病毒文件并运行,列表内容如下:
[oo]c0=http://xxx.dfasdaqwd.cn/cao/aa1.exe
c1=http://xxx.dfasdaqwd.cn/cao/aa2.exe
c2=http://xxx.dfasdaqwd.cn/cao/aa3.exe
c3=http://xxx.dfasdaqwd.cn/cao/aa4.exe
c4=http://xxx.dfasdaqwd.cn/cao/aa5.exe
c5=http://xxx.dfasdaqwd.cn/cao/aa6.exe
c6=http://xxx.dfasdaqwd.cn/cao/aa7.exe
c7=http://xxx.dfasdaqwd.cn/cao/aa8.exe
c8=http://111.dfasdaqwd.cn/cao/aa9.exe
c9=http://111.dfasdaqwd.cn/cao/aa10.exe
c10=http://111.dfasdaqwd.cn/cao/aa11.exe
c11=http://111.dfasdaqwd.cn/cao/aa12.exe
c12=http://111.dfasdaqwd.cn/cao/aa13.exe
c13=http://111.dfasdaqwd.cn/cao/aa14.exe
c14=http://111.dfasdaqwd.cn/cao/aa15.exe
c15=http://222.dfasdaqwd.cn/cao/aa16.exe
c16=http://222.dfasdaqwd.cn/cao/aa17.exe
c17=http://222.dfasdaqwd.cn/cao/aa18.exe
c18=http://222.dfasdaqwd.cn/cao/aa19.exe
c19=http://222.dfasdaqwd.cn/cao/aa20.exe
c20=http://222.dfasdaqwd.cn/cao/aa21.exe
c21=http://222.dfasdaqwd.cn/cao/aa22.exe
c22=http://333.dfasdaqwd.cn/cao/aa23.exe
c23=http://333.dfasdaqwd.cn/cao/aa24.exe
c24=http://333.dfasdaqwd.cn/cao/aa25.exe
c25=http://333.dfasdaqwd.cn/cao/aa26.exe
c26=http://333.dfasdaqwd.cn/cao/aa27.exe
c27=http://333.dfasdaqwd.cn/cao/aa28.exe
c28=http://444.dfasdaqwd.cn/cao/aa29.exe
c29=http://444.dfasdaqwd.cn/cao/aa30.exe
c30=http://444.dfasdaqwd.cn/cao/aa31.exe
c31=http://444.dfasdaqwd.cn/cao/aa32.exe
c32=http://444.dfasdaqwd.cn/cao/aa33.exe
c33=http://444.dfasdaqwd.cn/cao/aa34.exe
c34=http://444.dfasdaqwd.cn/cao/aa35.exe

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

               %Windir%            WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                    
              \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32   


四、 清除方案:

1、使用安天防线2008可彻底清除此病毒(推荐)。
       请到安天网站下载:http://www.antiy.com

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
        (1) 使用ATOOL“进程管理”关闭病毒相关进程
              复制%SystemRoot%\system32\dllcache\explorer.exe,替换到
              %System32%\ 与%Windir%目录下的explorer.exe
        (2)强行删除病毒文件:
               %Windir%\ctfmon.exe

[ 本帖最后由 flyleaf 于 2008-6-25 16:14 编辑 ]
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-22 20:56

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表