Trojan/Win32.FraudLoad.wsti[Downloader]分析

一、 病毒标签：
病毒名称： Trojan/Win32.FraudLoad.wsti[Downloader]
病毒类型： 木马
文件 MD5：9D189B75AB4FAE0B3AF3C9E3E1B6179C
公开范围： 完全公开
危害等级： 3
文件长度： 13,824 字节
感染系统： Windows98以上版本
开发工具： VC
加壳类型： 未知壳

二、 病毒描述：
   该病毒为木马类，该病毒利用Outlook Express 邮件消息方式传播自身，病毒运行后首先检测注册表是否有该病毒文件的键值，遍历系统目录查找病毒文件是否存在，通过判断如果存在则退出进程不继续连接网络下载伪装成杀毒软件的恶意文件《AntivirusPro_2010，否则将继续运行，创建注册表使传输指定后缀的文件不被阻止、添加注册表启动项，将自身拷贝并衍生文件到%Documents and Settings\Administrator\Application Data%\目录内，连接网络下载病毒文件并保存到该目录下，下载完毕后调用ExitWindowsEx函数从启计算机，启动计算机之后病毒再次被启动之后，在任务栏下弹出一个安全威胁警告信息，提示计算机存在安全威胁，并启动衍生的病毒文件，该文件伪装成安全软件下载器连接网络下载文件，该恶意软件利用攻击性和欺诈性与虚假的扫描检测结果，诱导用户购买下载其假冒产品。

三、 行为分析：
本地行为:
1、该病毒利用Outlook Express 邮件消息方式传播自身


                                       
2、病毒运行后首先检测注册表是否有该病毒文件的键值
hKey = HKEY_LOCAL_MACHINE
Subkey = "SOFTWARE\AntivirusPro_2010"
Reserved = 0
Access = KEY_QUERY_VALUE
pHandle = 0012F864

遍历系统目录查找以下文件是否存在：
CALL 到 PathFileExistsA 来自 open.00402BB3
Path = "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe"
通过判断以上2个监测点判断是否已经存在，如果存在则退出进程否则将继续连接网络下载伪装成杀毒软件的恶意文件《AntivirusPro_2010》

3、添加注册表项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]
"ModRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
描述：创建注册表添以上格式的后缀文件，使传输含有以上后缀的文件不被阻止

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mserv
键值: 字符串: "C:\Documents and Settings\ring\Application Data\svcst.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svchost
键值: 字符串: "C:\Documents and Settings\ring\Application Data\svcst.exe"
描述：添加注册表开机启动项

4、衍生病毒文件并将自身拷贝到以下目录内：

%Documents and Settings%\Administrator\Application Data\seres.exe
%Documents and Settings%\Administrator\Application Data\svcst.exe
%Documents and Settings%\Administrator\Application Data\lizkavd.exe

5、调用ExitWindowsEx函数从启计算机，启动计算机之后病毒再次被启动，在任务栏下弹出一个安全威胁警告信息，提示计算机存在安全威胁：



启动衍生的病毒文件lizkavd.exe，该文件伪装成安全软件连接网络下载AntivirusPro_2010：



该恶意软件下载完毕后，自动扫描计算机提示计算机存在多个安全威胁，当用户点击清除病毒该软件弹出注册窗口要求用户付款购买该软件：




网络行为:
1、连接网络等待控制
协议：TCP
域名或IP地址：204.27.58.***
域名：http://ertonaferdo****.com/c1G0T5Sd8grz0Nt4a3Sm8Uf
端口：80
描述：连接以上域名地址下载病毒文件保存到%Documents and Settings%\Administrator\Application Data\lizkavd.exe

连接网络下载文件：
http://ertonaferdo****.com/c1G0T5Sd8grz0Nt4a3Sm8Uf
http://ertu6nage****.com/files/avp21_d_/_1_._d_
http://ertu6nage****.com/files/avp21_d_/_1_._d_
http://ertu6nage****.com/files/_AVE_._d_
http://ertu6nage****.com/files/_AVE_._d_
http://ertu6nage****.com/files/_Add_._d_
http://ertu6nage****.com/files/_GUI_._d_
http://ertu6nage****.com/files/_SC_._d_
http://ertu6nage****.com/files/_Upd_._d_
http://ertu6nage****.com/
http://ertu6nage****.com/qzlktna105878075823812a118a7b8e3fb7c8c9c50504cdjab

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp%  = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\                           WINDODWS所在目录
%DriveLetter%\                        逻辑驱动器根目录
%ProgramFiles%\                        系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\        当前用户文档根目录


四、 清除方案：
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用安天防线工具中的“进程管理”关闭病毒进程
(2) 删除病毒文件
%Documents and Settings%\Administrator\Application Data\seres.exe
%Documents and Settings%\Administrator\Application Data\svcst.exe
%Documents and Settings%\Administrator\Application Data\lizkavd.exe
(3)删除病毒添加的注册表项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]
"ModRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\mserv
键值: 字符串: "C:\Documents and Settings\ring\Application Data\svcst.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svchost
键值: 字符串: "C:\Documents and Settings\ring\Application Data\svcst.exe"