找回密码
 注册创意安天

Trojan-Downloader.Win32.Cntr.ioq分析

[复制链接]
发表于 2008-8-4 14:14 | 显示全部楼层 |阅读模式
一、 病毒标签:
病毒名称: Trojan-Downloader.Win32.Cntr.ioq
病毒类型: 蠕虫类
文件 MD5: F8820809EBCAB9AC87CA039A0D974F59
公开范围: 完全公开
危害等级: 4
文件长度: 7,680 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 7.0

二、 病毒描述:
该病毒为蠕虫类病毒,病毒运行之后创建互斥量“gagagaradio”,防止病毒多次运行,调用HttpOpenRequestA隐藏打开一个超级链接、连接到一个网站,创建一个svcp.csv文件到%System32%目录下,调用API函数InternetReadFile读取网络信息,将信息保存到svcp.csv文件中,调用InternetQueryDataAvailable函数,在%System32%目录下创建一个back.exe利用远程调用代码技术获取网络信息将病毒数据分段写入该文件中,访问网络判断病毒数据大小是否满足条件如满足则调用下载后的病毒文件运行,并将svcp.csv文件删除,修改及删除注册表,下载后的back.exe行为分析:调用back.exe调用函数,释放驱动文件“glok+3c51-3a43.sys、glok+serv.config”(其中glok为固定不变的其它为随机数字或字母),到%Windir%目录下,EnumServicesStatus 枚举系统服务,判断现有服务是否存在病毒服务,如存在则不创建病毒服务,否则创建病毒病毒服务,在本地按顺序隐藏打开病毒预定好的大量地址。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件:

    %system32%\back.exe         92,672 字节
    %system32%\svcp.csv         64 字节
    %system32%\glok+3c51-3a43.sys    128,640 字节(随机文件名)
    %system32%\glok+serv.config     47,901 字节(随机文件名)
    %system32%\winsub.xml        4 字节

2、修改注册表项:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\W32Time\Parameters\NtpServer
    新: 字符串: "time.windows.com,time.nist.gov"
    旧: 字符串: "time.windows.com,0x1"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\W32Time\Parameters\NtpServer
    新: 字符串: "time.windows.com,time.nist.gov"
    旧: 字符串: "time.windows.com,0x1"

    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \ShellNoRoam\Bags\6\Shell\ShowCmd
    新: DWORD: 1 (0x1)
    旧: DWORD: 3 (0x3)

    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \ShellNoRoam\Bags\6\Shell\WFlags
    新: DWORD: 0 (0)
    旧: DWORD: 2 (0x2)

3、删除注册表项:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Capabilities
    值: DWORD: 0 (0)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Class
    值: 字符串: "LegacyDriver"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\ClassGUID
    值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\ConfigFlags
    值: DWORD: 0 (0)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Control\ActiveService
    值: 字符串: "Gpc"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\DeviceDesc
    值: 字符串: "Generic Packet Classifier"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Legacy
    值: DWORD: 1 (0x1)
   
4、病毒运行之后创建互斥量“gagagaradio”,防止病毒多次运行,调用
  HttpOpenRequestA隐藏打开一个超级连接、连接到一个网站,创建一个svcp.csv
  文件到%System32%目录下。

5、调用API函数InternetReadFile读取网络信息,将信息保存到svcp.csv文件中,
  调用InternetQueryDataAvailable函数,在%System32%目录下创建一个back.exe
  利用远程调用代码技术获取网络信息将病毒数据分段写入该文件中,访问网络连
  接http://213.155.3.**/aff/cntr.php?e=!!45337902_85_1_2_2&x=>=98&y=7621
  判断病毒数据大小是否满足条件如满足则关闭网络句丙,调用下载后的病毒文件运行,
  并将svcp.csv文件删除。

6、下载后的back.exe行为分析:调用back.exe调用函数,释放驱动文件“glok+3c51-
  3a43.sys、glok+serv.config(其中glok为固定不变的其它为随机数字或字母),
  到%Windir%目录下,EnumServicesStatus 枚举系统服务,判断现有服务是否存在
  病毒服务,如存在则不创建病毒服务,否则创建病毒病毒服务,在本地按顺序隐藏
  打开病毒预定好的大量地址。

网络行为:

     隐藏打开大量病毒预定好的网站地址 。
      
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32 
四、 清除方案:
        1、使用安天木马防线可彻底清除此病毒(推荐)。
       请到安天网站下载:http://www.antiy.com
        2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
        (1) 使用ATOOL“进程管理”关闭病毒相关进程
         (2)恢复病毒修改的注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\W32Time\Parameters\NtpServer
    新: 字符串: "time.windows.com,time.nist.gov"
    旧: 字符串: "time.windows.com,0x1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\W32Time\Parameters\NtpServer
    新: 字符串: "time.windows.com,time.nist.gov"
    旧: 字符串: "time.windows.com,0x1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \ShellNoRoam\Bags\6\Shell\ShowCmd
    新: DWORD: 1 (0x1)
    旧: DWORD: 3 (0x3)
    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \ShellNoRoam\Bags\6\Shell\WFlags
    新: DWORD: 0 (0)
    旧: DWORD: 2 (0x2)
  (3)恢复病毒删除的注册表项:
    删除的注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Capabilities
    值: DWORD: 0 (0)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Class
    值: 字符串: "LegacyDriver"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\ClassGUID
    值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\ConfigFlags
    值: DWORD: 0 (0)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Control\ActiveService
    值: 字符串: "Gpc"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\DeviceDesc
    值: 字符串: "Generic Packet Classifier"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Legacy
    值: DWORD: 1 (0x1)
    HKEY_CURRENT_USER\Software\Microsoft
   \Windows\ShellNoRoam\MUICache
    删除MUICache键下的所有键值
  (4)删除病毒毒衍生的文件:
    %system32%\back.exe 92,672 字节
    %system32%\svcp.csv 64 字节
    %system32%\glok+3c51-3a43.sys 128,640 字节(随机文件名)
    %system32%\glok+serv.config 47,901 字节(随机文件名)
    %system32%\winsub.xml 4 字节
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-26 04:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表