设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 病毒播报 Trojan-PSW.Win32.OnLineGames.rxpi分析
返回列表 发新帖

Trojan-PSW.Win32.OnLineGames.rxpi分析

[复制链接]
发表于 2008-4-21 10:08 | 显示全部楼层 |阅读模式
病毒标签:
病毒名称: Trojan-PSW.Win32.OnLineGames.rxpi
病毒类型: 木马
文件 MD5: 77B6D8FA25EF0BE3ACED5C31BCEC35FE
公开范围: 完全公开
危害等级: 4
文件长度: 加壳后14,954 字节 脱壳后119,808字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++
加壳类型: NsPacK V3.7

病毒描述:
  该病毒为木马类,病毒运行后,复制自身到所有用户的启动文件夹下,以达
到当任意用户登陆时随机运行病毒文件,衍生_uninsep.bat到%HomeDrive%下,
uninsep.bat实现在病毒运行后删除病毒文件;新增注册表项,创建病毒服务;
映像劫持多款安全软件,以降低系统的安全性;连接网络,通过对照病毒下载列
表下载大量病毒文件,由于病毒种类繁多,给用户清理病毒带来极大的不便。

行为分析:
本地行为:

1、文件运行后会释放以下文件:
    %HomeDrive%\_uninsep.bat            204 字节
    %Documents and Settings% \All Users
    \「开始」菜单\程序\启动\Display3D.exe     14,954 字节

2、新增注册表项,创建病毒服务:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_SC_MANAGER\0000]
    注册表值: "Class"
    类型: REG_SZ
    字符串: "LegacyDriver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_SC_MANAGER\0000]
    注册表值: " ClassGUID"
    类型: REG_SZ
    字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_SC_MANAGER\0000]
    注册表值: " ActiveService"
    类型: REG_SZ
    字符串: "Sc Manager"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_SC_MANAGER\0000]
    注册表值: "DeviceDesc "
    类型: REG_SZ
    字符串: "Sc Manager"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_SC_MANAGER\0000]
    注册表值: "Service"
    类型: REG_SZ
    字符串: "Sc Manager"

    [KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\Sc Manager]
    注册表值: " DisplayName"
    类型: REG_SZ
    字符串: "Sc Manager"

    [KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\Sc Manager]
    注册表值: "ImagePath"
    类型: REG_SZ
    字符串: "C:\DOCUME~1\ADMINI~1\LOCALS~ 1\Temp\usbcams3.sys"

    [KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\Sc Manager]
    注册表值: "Start"
    类型: DWORD
    值:3

3、通过注册表映像劫持多款安全软件:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
    \CurrentVersion\Image File Execution Options
    \被映像劫持的文件名称]
    注册表值: "Debugger"
    类型: REG_SZ
    字符串:"ntsd -d"

    劫持文件名列表:
    360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、
    adam.exe、AgentSvr.exe、AppSvc32.exe、AtiSrv.exe、
    autoruns.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、
    avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、
    FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、
    HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、
    isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、
    KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
    KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
    KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、
    KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、
    KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、
    kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、
    KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、
    KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、
    KWatchX.exe、MagicSet.exe、mcconsol.exe、mmqczj.exe、
    mmsk.exe、Navapsvc.exe、Navapw32.exe、nod32.exe、
    nod32krn.exe、nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、
    OllyICE.EXE、PFW.exe、PFWLiveUpdate.exe、procexp.exe、
    QHSET.exe、QQDoctor.exe、QQKav.exe、Ras.exe、
    RavMonD.exe、RavStub.exe、RawCopy.exe、RegClean.exe、
    RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、
    rfwsrv.exe、rfwstub.exe、RsAgent.exe、Rsaupd.exe、
    runiep.exe、safebank.exe、safeboxTray.exe、safelive.exe、
    scan32.exe、shcfg32.exe、SmartUp.exe、SREng.EXE、
    symlcsvc.exe、SysSafe.exe、TrojanDetector.exe、
    Trojanwall.exe、TrojDie.kxp、UIHost.exe、UmxAgent.exe、
    UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、
    UmxPol.exe、UpLive.exe、vsstat.exe、webscanx.exe、
    WinDbg.exe、WoptiClean.exe

网络行为:  
  
    连接网络下载大量病毒文件,并在本机运行,大多为网络游戏盗号木马:

    http://222.73.44.***/new.txt
    http://222.73.44.***/1.exe
    http://222.73.44.***/2.exe
    http://222.73.44.***/3.exe
    http://222.73.44.***/4.exe
    http://222.73.44.***/5.exe
    http://222.73.44.***/6.exe
    http://222.73.44.***/7.exe
    http://222.73.44.***/8.exe
    http://222.73.44.***/9.exe
    http://222.73.44.***/10.exe
    http://222.73.44.***/11.exe
    http://222.73.44.***/12.exe
    http://222.73.44.***/13.exe
    http://222.73.44.***/14.exe
    http://222.73.44.***/15.exe
    http://222.73.44.***/16.exe
    http://222.73.44.***/17.exe
    http://222.73.44.***/18.exe
    http://222.73.44.***/19.exe
    http://222.73.44.***/20.exe
    http://222.73.44.***/21.exe
    http://222.73.44.***/22.exe
    http://222.73.44.***/23.exe

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  
        

清除方案:
  1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载: www.antiy.com 
  2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用ATOOL“进程管理”关闭病毒进程。
    (2)删除病毒文件:
      %HomeDrive%\_uninsep.bat
      %Documents and Settings%\All Users
      \「开始」菜单\程序\启动\Display3D.exe
    (3)删除病毒添加的服务项:
      删除[HKEY_LOCAL_MACHINE\SYSTEM
      \CurrentControlSet\Enum\Root]
      下的LEGACY_SC_MANAGER子键
      删除[KEY_LOCAL_MACHINE\SYSTEM
      \CurrentControlSet\Services]
      下的Sc Manager子键
    (4)删除病毒添加的注册表映像劫持项:
      删除[HKEY_LOCAL_MACHINE\SOFTWARE
      \Microsoft\Windows NT\CurrentVersion
      \Image File Execution Options
      \被映像劫持的文件名称]下的
      360rpt.exe、360safe.exe、360safebox.exe、
      360tray.exe、adam.exe、AgentSvr.exe、
      AppSvc32.exe、AtiSrv.exe、autoruns.exe、
      avconsol.exe、avgrssvc.exe、AvMonitor.exe、
      avp.com、avp.exe、CCenter.exe、ccSvcHst.exe、
      EGHOST.exe、FileDsty.exe、FTCleanerShell.exe、
      FYFireWall.exe、HijackThis.exe、IceSword.exe、
      iparmo.exe、Iparmor.exe、isPwdSvc.exe、
      kabaload.exe、KaScrScn.SCR、KASMain.exe、
      KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、
      KAVPFW.exe、KAVSetup.exe、KAVStart.exe、
      KISLnchr.exe、KMailMon.exe、KMFilter.exe、
      KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、
      KRegEx.exe、KRepair.com、KsLoader.exe、
      KVCenter.kxp、KvDetect.exe、KvfwMcl.exe、
      KVMonXP.kxp、KVMonXP_1.kxp、kvol.exe、
      kvolself.exe、KvReport.kxp、KVScan.kxp、
      KVSrvXP.exe、KVStub.kxp、kvupload.exe、
      kvwsc.exe、KvXP.kxp、KvXP_1.kxp、KWatch.exe、
      KWatch9x.exe、KWatchX.exe、MagicSet.exe、
      mcconsol.exe、mmqczj.exe、mmsk.exe、
      Navapsvc.exe、Navapw32.exe、nod32.exe、
      nod32krn.exe、nod32kui.exe、NPFMntor.exe、
      OllyDBG.EXE、OllyICE.EXE、PFW.exe、
      PFWLiveUpdate.exe、procexp.exe、QHSET.exe、
      QQDoctor.exe、QQKav.exe、Ras.exe、RavMonD.exe、
      RavStub.exe、RawCopy.exe、RegClean.exe、
      RegTool.exe、rfwcfg.exe、rfwmain.exe、
      rfwProxy.exe、rfwsrv.exe、rfwstub.exe、
      RsAgent.exe、Rsaupd.exe、runiep.exe、
      safebank.exe、safeboxTray.exe、safelive.exe、
      scan32.exe、shcfg32.exe、SmartUp.exe、
      SREng.EXE、symlcsvc.exe、SysSafe.exe、
      TrojanDetector.exe、Trojanwall.exe、
      TrojDie.kxp、UIHost.exe、UmxAgent.exe、
      UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、
      UmxPol.exe、UpLive.exe、vsstat.exe、
      webscanx.exe、WinDbg.exe、WoptiClean.exe子键
rxpi
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-9-17 03:28

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表