找回密码
 注册创意安天

Trojan-Downloader.Win32.Small.xwr分析

[复制链接]
发表于 2008-7-7 17:19 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Trojan-Downloader.Win32.Small.xwr
病毒类型: 木马
文件 MD5:FEFEC24CF9C0E4D1E26498A09D7ED159
公开范围: 完全公开
危害等级: 3
文件长度: 加壳后9,728 字节 脱壳后41,984字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24

二、 病毒描述:
该病毒为下载类木马,病毒运行后,衍生病毒文件DesktopWin.dll到%Windir%\AppPatch下;新增注册表项,创建CLSID值,
添加启动项,在ShellServiceObjectDelayLoad键下添加DesktopWin键值,当系统启动时利用Explorer.exe进程自动加载病毒组件,
并查找此键下是否存在JavaView键值,若存在,便删除;以命令行方式调用rundll32.exe,由rundll32.exe创建
%Windir%\AppPatch\AclLayer.dll文件;当该病毒执行完自身代码后,会结束自身进程,在%System32%下衍生unxxx.bat,
目的是为了删除该病毒文件和自身;连接网络,下载大量病毒文件并在本机运行。

三、 行为分析:

本地行为:
1、文件运行后会释放以下文件。
%Windir%\AppPatch\AclLayer.dll                        9,728 字节
%Windir%\AppPatch\DesktopWin.dll                     14,336字节
2、新增注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}\InProcServer32]
注册表值: "@ "
类型: REG_SZ
字符串: "C:\WINDOWS\AppPatch\DesktopWin.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}\InProcServer32]
注册表值: "ThreadingModel"
类型: REG_SZ
字符串: "Apartment"
描述:注册CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
注册表值: "DesktopWin"
类型: REG_SZ
字符串: "{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}"
描述: 当系统启动时利用Explorer.exe进程自动加载病毒组件

3、 在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]键下查找是否存在JavaView,若存在此项,便删除。

4、 以命令行方式调用rundll32.exe,由rundll32.exe创建%Windir%\AppPatch\AclLayer.dll文件。

5、 当该病毒执行完自身代码后,会结束自身进程,在%System32%下衍生unxxx.bat,目的是为了删除该病毒文件和自身。

网络行为:
连接网络下载病毒文件,并在本机运行:
协议:HTTP
端口:80
http://60.191.223.**/11.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://60.191.223.**/12.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
http://60.191.223.**/13.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.said
http://60.191.223.**/15.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://60.191.223.**/16.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://60.191.223.**/17.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
http://60.191.223.**/18.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.satb
http://60.191.223.**/19.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.sasz
http://60.191.223.**/20.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.satc
http://60.191.223.**/21.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
http://60.191.223.**/22.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.sbqw
http://60.191.223.**/23.gif                          病毒名:Trojan-GameThief.Win32.OnLineGames.sata
http://60.191.239.***/14.gif                         病毒名:Trojan-GameThief.Win32.OnLineGames.sata
http://60.191.239.***/24.gif                         病毒名:Trojan-GameThief.Win32.OnLineGames.savj
http://60.191.239.***/25.gif                         病毒名:Trojan-GameThief.Win32.OnLineGames.satq
http://60.191.239.***/26.gif                         病毒名:Trojan-GameThief.Win32.OnLineGames.sbpv
http://60.191.239.191/A.gif                         病毒名:Trojan.Win32.Agent.qnz
http://60.191.239.***/C.gif                         病毒名:Trojan-Downloader.Win32.Small.xwr
http://60.191.239.***/D.gif                         病毒名:Trojan.Win32.Agent.qnw

协议:DNS
端口:53
http://60.191.223.**/moon.asp                      病毒名:Trojan-Spy.Win32.FtpSend.b
http://125.83.89.**/1.gif                           病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
http://125.83.89.**/2.gif                           病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://125.83.89.**/4.gif                           病毒名:Trojan-GameThief.Win32.OnLineGames.sasv
http://125.83.89.**/5.gif                           病毒名:Trojan-GameThief.Win32.OnLineGames.rxwy
http://222.216.28.***/6.gif                         病毒名:Trojan-GameThief.Win32.OnLineGames.sats
http://222.216.28.***/7.gif                         病毒名:Trojan-GameThief.Win32.OnLineGames.rxxa
http://222.216.28.***/8.gif                         病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
http://222.216.28.***/9.gif                         病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
http://222.216.28.***/10.gif                        病毒名:Trojan-GameThief.Win32.OnLineGames.sasr
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
   %Windir%              WINDODWS所在目录
    %DriveLetter%            逻辑驱动器根目录
    %ProgramFiles%           系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%       当前用户文档根目录
    %Temp%             \Documents and Settings
                      \当前用户\Local Settings\Temp
    %System32%            系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  

四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
       http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理结束rundll32.exe进程
(2)删除病毒衍生的文件
%Windir%\AppPatch\AclLayer.dll  
%Windir%\AppPatch\DesktopWin.dll  
%Windir%\AppPatch\AcSpecf.dll
%Windir%\AppPatch\AcXtrnel.bpl
%Windir%\Downloaded Program Files\ThunderAdvise.dll
%System32%\aitlasys.exe
%System32%\akjsfkaq.dll
%System32%\apsggjba.dll
%System32%\apzhctde.dll
%System32%\axmsawin.exe
%System32%\azcbaime.exe
%System32%\azwlaime.exe
%System32%\azzxaime.exe
%System32%\ciwdaapi.sys
%System32%\dazfajke.exe
%System32%\dehxaklo.exe
%System32%\detxbiua.dll
%System32%\drivers\eth8023.sys
%System32%\dtzfajke.sys
%System32%\erjxakin.sys
%System32%\fd233ds4f3.dll
%System32%\fdtxaiua.exe
%System32%\fstlbsys.sys
%System32%\fxcbbime.sys
%System32%\fxwlbime.sys
%System32%\fxzxbime.sys
%System32%\fzmsbwin.sys
%System32%\gajzalit.sys
%System32%\gpsgajba.sys
%System32%\gpzhatde.sys
%System32%\gsdhadwd.sys
%System32%\hdf453d.dll
%System32%\ictxaiua.sys
%System32%\ijsgajba.sys
%System32%\ijzhatde.sys
%System32%\isdsasrv.exe
%System32%\ismhasrv.exe
%System32%\jkhxaklo.dll
%System32%\lpmxajkl.exe
%System32%\lpsgajba.exe
%System32%\lpzhatde.exe
%System32%\mkjsakaq.exe
%System32%\mndhfdwd.dll
%System32%\mndshsrv.dll
%System32%\mnmhgsrv.dll
%System32%\mpwdeapi.dll
%System32%\ngjxakin.sys
%System32%\nhmxejkl.dll
%System32%\onjzalit.exe
%System32%\ozfyebyt.dll
%System32%\pldhadwd.exe
%System32%\pqzfajke.dll
%System32%\pzwlaime.sys
%System32%\qbhxaklo.sys
%System32%\rijxbkin.dll
%System32%\rnmxajkl.sys
%System32%\sdjsakaq.sys
%System32%\simyaapi.exe
%System32%\siwdaapi.exe
%System32%\smdsbsrv.sys
%System32%\smmhbsrv.sys
%System32%\snfybbyt.sys
%System32%\spmybapi.sys
%System32%\spwdbapi.sys
%System32%\sqjsakaq.sys
%System32%\stjxakin.exe
%System32%\tjfyabyt.exe
%System32%\vlhxaklo.sys
%System32%\wymxajkl.sys
%System32%\xzcsbhlp.sys
%System32%\yxcschlp.dll
%System32%\zptlcsys.dll
%System32%\zxcsahlp.exe
%System32%\zxmsewin.dll
%System32%\zycbdime.dll
%System32%\zywlcime.dll
%System32%\zyzxjime.dll
(3)删除病毒添加的注册表项   
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]下的{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}子键
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]下的DesktopWin值
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-26 04:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表