创意安天

 找回密码
 注册创意安天

Trojan/Win32.Geral.vnk[Downloader]分析

[复制链接]
发表于 2011-10-14 10:01 | 显示全部楼层 |阅读模式
本帖最后由 flyleaf 于 2011-10-14 10:04 编辑

一、 病毒标签:
病毒名称: Trojan/Win32.Geral.vnk[Downloader]
病毒类型: 木马下载器
文件 MD5: 53A2A05322FAC1EFBC1F954911363E89
公开范围: 完全公开
危害等级: 3
文件长度: 25,088字节
感染系统: Windows 2000以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX

二、 病毒描述:
该恶意代码文件为木马下载器,病毒运行后衍生文件到系统目录下,添加注册表启动项,同时尝试关闭NOD32、360、卡巴斯基等杀毒软件。病毒访问指定网址获取下载地址列表后,根据列表下载大量恶意程序并执行,这些程序是窃取帐号密码信息的木马程序,窃取的信息将回传到作者指定的地址。

三、 行为分析:
本地行为:
1.病毒运行后会释放以下文件
%Temp%\410484.dll                        (随机数字命名)
%System32%\415296.exe                (随机数字命名)
%System32%\scvhost.exe                (复制的本体)
2.病毒运行后,添加注册表启动项
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
项:360saft
值:"C:\WINDOWS\system32\scvhost.exe"
3.病毒运行后获取自身目录,在此目录下创建批处理文件并执行,批处理内容如下:
@echo off
@echo kklfa>>11.ca
@echo kklfa>>11.ca
@echo kklfa>>11.ca
@echo kklfa>>11.ca
@echo kklfa>>11.ca
@echo kklfa>>11.ca
@echo kklfa>>11.ca
@echo kklfa>>11.ca
@echo kklfa>>11.ca
@echo kklfa>>11.ca
@del 11.ca
@del "C:\Documents and Settings\Administrator\桌面\dump\dump.exe"
@del kl78a.bat
@exit
批处理功能为删除恶意程序本体与批处理本身。
4.该恶意代码运行后调用rundll32.exe执行衍生的dll文件,参数为testall。
例:rundll32.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\410484.dll testall
5.该恶意代码运行后采取载入资源方式衍生文件,并动态获取API函数ShellExecuteA将衍生文件执行起来。
6.衍生文件执行后访问设定的网址,读取列表,根据列表修改系统%System32%\drivers\etc\host文件 (见附表1)致用户无法访问指定的网址。
7.衍生文件执行后访问设定的网址,读取列表,根据列表(见附表2)下载木马程序并执行,这些木马程序多为网络游戏盗号程序,会窃取用户帐号密码信息。
网络行为:
        协议:TCP/HTTP
        端口:72
        IP地址:58.221.36.***
        URL:http://ad.****.net:72/hosts.txt
        描述:根据读取内容修改系统host文件

        协议:TCP/HTTP
        端口:88
        IP地址:122.224.4.***
        URL:http://Count.sh****.com:88/Count.asp
        描述:根据读取内容下载并执行

        注:
        %System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%             WINDODWS所在目录
          %DriveLetter%          逻辑驱动器根目录
          %ProgramFiles%          系统程序默认安装目录
          %HomeDrive%           当前启动的系统的所在分区
          %Documents and Settings%    当前用户文档根目录
         %Temp%             \Documents and Settings\当前用户
                                             \Local Settings\Temp
          %System32%           系统的 System32文件夹
          Windows2000/NT中默认的安装路径是C:\Winnt\System32
          Wndows95/98/me中默认的安装路径是C:\Windows\System
          WindowsXP中默认的安装路径是C:\Windows\System32

四、 清除方案:
1.使用安天防线可彻底清除此病毒(推荐)。
  请到安天网站下载:http://www.antiy.com
2.手工清除请按照行为分析删除对应文件,恢复相关系统设置。
  推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)。
        1) 使用ATOOL管理工具,“进程管理”结束病毒的进程。
        2) 强行删除病毒文件。
             %Temp%\410484.dll(随机数字命名)
                   %System32%\415296.exe(随机数字命名)
                   %System32%\scvhost.exe(复制本体)
        3) 恢复被修改注册表键值。
        键:  
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
        项:360saft
        值:"C:\WINDOWS\system32\scvhost.exe"
        4) 恢复系统Host文件
        5) 强行删除病毒下载的文件及衍生文件

附表1:
127.0.0.1 003.777000sf.com
127.0.0.1 0804.perfect54my.com
127.0.0.1 dd.lolmake.com
127.0.0.1 dl.youbak.com
127.0.0.1 update.9384.com
127.0.0.1 dianxin.cn
127.0.0.1 api1.dianxin.cn
127.0.0.1 www.seoppp.com
127.0.0.1 ashow.pcpop.com
127.0.0.1 recommend-zip.kuwo.cn
127.0.0.1 down.koowo.com
127.0.0.1 242375.4440.info
127.0.0.1 202421.4440.info
127.0.0.1 tjdnserror1.wo.com.cn
127.0.0.1 data.ye888.com
127.0.0.1 list.9bic.net
127.0.0.1 vip.9bic.net
127.0.0.1 o0o0il1i0o.9bic.net
127.0.0.1 go.90b8.com
127.0.0.1 cq.wwdnsdns.com
127.0.0.1 vv.vv49.com
127.0.0.1 ak01.jf987.com
127.0.0.1 www.145888.com
127.0.0.1 baidu.to63.com
127.0.0.1 0630.perfect54my.com
127.0.0.1 che.kutime.info
127.0.0.1 update.360safe.com
127.0.0.1 dl.360safe.com
127.0.0.1 www.bubu888.com
127.0.0.1 qd.code.360.cn
127.0.0.1 stat.360safe.com
127.0.0.1 stat.sd.360.cn
127.0.0.1 msginfo.rising.com.cn
127.0.0.1 h.qup.f.360.cn
127.0.0.1 softm.update.360safe.com
127.0.0.1 boxinst.360safe.com
127.0.0.1 center.rising.com.cn
127.0.0.1 rsup10.rising.com.cn
127.0.0.1 register.rising.com.cn
127.0.0.1 d.360safe.com
127.0.0.1 ww.xt918.com
127.0.0.1 wwwcnzz.hkcjb.com
127.0.0.1 AdWords.haoom.com
127.0.0.1 Visuals.haoom.com
127.0.0.1 VMwares.haoom.com
127.0.0.1 Studios.haoom.com
127.0.0.1 Manages.haoom.com
127.0.0.1 tongji.66660.com
127.0.0.1 www.tx12znqq.in
127.0.0.1 bubu888.com
127.0.0.1 data2.rengdiao.com
127.0.0.1 data.zhenlaji.com
127.0.0.1 www.zhenlaji.com
127.0.0.1 www.dianxin.cn
127.0.0.1 o.01i.info
127.0.0.1 union.80.com
127.0.0.1 data.66660.com
127.0.0.1 js.union001.com
127.0.0.1 s.dianxin.cn
127.0.0.1 data.zaodezhu.com
127.0.0.1 114search.118114.cn
127.0.0.1 data.vippin.cn
127.0.0.1 data.zhaosui.com
127.0.0.1 data.xiaoxiangyu.com
127.0.0.1 data.pianya.cn

附表2:
http://dl.S****.Com:78/Le01.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:梦幻西游游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt06010.ttf
%System32%\jahjah06.exe
%System32%\mgt06010.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le02.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:问道游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt11003.ttf
%System32%\jahjah11.exe
%System32%\mgt11003.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le03.js        病毒名:Trojan/Win32.Kykymber.gxus[stealer]
病毒描述:天龙八部游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt09004.ttf
%System32%\jahjah09.exe
%System32%\mgt09004.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le04.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:大话西游2游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt03003.ttf
%System32%\jahjah03.exe
%System32%\mgt03003.dll
%System32%\mgt03003.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le05.js        链接失效
http://dl.S****.Com:78/Le06.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:QQ三国游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt01002.ttf
%System32%\jahjah01.exe
%System32%\mgt01002.dll
%System32%\mgt01002.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le07.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:反恐精英online游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt26003.ttf
%System32%\jahjah26.exe
%System32%\mgt26003.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le08.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:诛仙游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt13002.ttf
%System32%\jahjah13.exe
%System32%\mgt13002.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le09.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:龙之谷游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt04002.ttf
%System32%\jahjah04.exe
%System32%\mgt04002.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le10.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:魔域游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt16004.ttf
%System32%\jahjah16.exe
%System32%\mgt16004.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le11.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:热血传奇游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt08001.ttf
%System32%\jahjah08.exe
%System32%\mgt08001.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le12.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:传奇3游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt02001.ttf
%System32%\jahjah02.exe
%System32%\mgt02001.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le13.js        病毒名:Trojan/Win32.Kykymber.amch[stealer]
病毒描述:QQ华夏游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt34003.ttf
%System32%\jahjah34.exe
%System32%\mgt34003.ocx
%System32%\mgt99008.ocx
%System32%\winnt.com
http://dl.S****.Com:78/Le14.js        病毒名:Trojan/Win32.Kykymber.ajbc[stealer]
病毒描述:完美国际游戏盗号木马
衍生文件:
%WINDOWS%\Fonts\mgt10005.ttf
%System32%\jahjah10.exe
%System32%\mgt10005.ocx
%System32%\mgt99008.ocx
http://dl.S****.Com:78/Le15.js        链接失效
http://dl.S****.Com:78/Le16.js        病毒名:Trojan/Win32.OnlineGames.bogc[stealer]
病毒描述:DNF游戏盗号木马
衍生文件:

http://dl.S****.Com:78/Le17.js        病毒名:Trojan/Win32.QQPass.akha[stealer]
病毒描述:QQ盗号木马
衍生文件:

http://dl.S****.Com:78/Le18.js        病毒名:Trojan/Win32.QQShou.aqr[stealer]
病毒描述:QQ盗号木马
衍生文件:

http://dl.S****.Com:78/Le19.js        链接失效
http://dl.S****.Com:78/Le20.js        病毒名:Trojan/Win32.Clicker.VB.NVF
病毒描述:广告程序
衍生文件:
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-3-29 15:19

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表