一、 病毒标签:
病毒名称: Backdoor/Win32.Agent.pv
病毒类型: 后门
文件 MD5: EF9CAFD1FF3EAF6E828B034C8044198C
公开范围: 完全公开
危害等级: 4
文件长度: 761,344 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
二、 病毒描述:
该恶意代码文件为灰鸽子变种后门类木马,病毒运行后Load资源加密信息,包括病毒要衍生的目录、名称、上线IP地址、端口、服务名等信息,判断自身文件名是否为IEXPLORE.EXE名,如果不是则判断自身文件路径是否为%Windir%\Hacker.com.cn.exe路径下的文件,如是则退出,如不是则创建互斥量防止病毒多次运行,遍历%Windir%目录查找Hacker.com.cn.exe文件是否存在,如果存在则退出!不存在则拷贝自身到该目录下,并将文件属性设置为隐藏,创建病毒注册表服务以服务方式启动病毒,添加注册表RUN启动项,弹出信息提示框(灰鸽子远程控制服务端安装成功!)的提示信息,衍生批BAT处理文件用于删除病毒源文件,开启一个IEXPLORE.EXE进程连接网络进程通信,被感染的用户电脑将被自动开启socks与HTTP代理,感染的计算机会被作者完全操控。
三、 行为分析:
本地行为:
1、文件运行后会释放以下文件
%Windir%\Ha****.com.cn.exe
2、病毒运行后Load资源加密信息,包括病毒要衍生的目录、名臣、上线IP地址、端口、服务名等信息
7D71483ECB1A56B7DFB4884FCEA1D7E125558922255D79A522C1C3D421B361F61A9A68DB7EC3BE2F63E1E725 8E48010002373121D16F14E342C1F32DAC9F3B3527EEFD8B20F3009A0CE5E08E4079E61B371BE8EC002725AD 369FB32E1C5D1D500FE692E8DA4EE8D99779401140F928BE56698151CEFDCBCD449A90D670EAAF7D2D4177CC CFBFD1472BE6E31DAE38494CE5BDF65E8C5453C4276566142BAF95A6D8E23CF3EA4CDCF39636EBB4E079CD85 0FF853C4AABA2EBFFEE996A96E433DCE25FD94874BE4FAB79B410696BED2899B4D65345EF0EFC4F306678EA6 8F1A922981ABDEB787E4D163
解密后:
192.168.1.**| $(WinDir)\Ha****.com.cn.exe| 8000| GrayPigeon_Ha****.com.cn| 1080| guest| huigezi| 8080
3、弹出信息提示框(灰鸽子远程控制服务端安装成功!)的提示信息,衍生批BAT处理文件用于删除病毒源文件,开启一个IEXPLORE.EXE进程连接网络进程通信,被感染的用户电脑将被自动开启socks5与HTTP代理
socks5代理:
代理端口:1080
用户名:guest
密码:huigezi
http代理:
端口:8080
4、创建病毒服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Description
值: 字符串: "灰鸽子服务端程序。远程监控管理."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\DisplayName
值: 字符串: "GrayPigeon_Hacker.com.cn"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\ImagePath
值: 字符串: "C:\WINDOWS\Hacker.com.cn.exe.字符串: "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Type
值: DWORD: 272 (0x110)
描述:添加注册表服务
网络行为:
协议:TCP
端口:8000
IP地址:192.168.1.**
描述:连接到远程IP等待控制端发送控制指令
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL管理工具,“进程管理“强行结束IEXPLORE.EXE进程
(2) 删除病毒文件%Windir%\Hacker.com.cn.exe
(3)删除病毒添加的服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Description
值: 字符串: "灰鸽子服务端程序。远程监控管理."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\DisplayName
值: 字符串: "GrayPigeon_Hacker.com.cn"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\ImagePath
值: 字符串: "C:\WINDOWS\Hacker.com.cn.exe.字符串: "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Type
值: DWORD: 272 (0x110) |
发表于 2009-12-29 14:14