[06-26] 关于病毒Trojan.DL.Agent.alb的一点分析(第3版)

endurer 原创

2006-06-26 第3版 补充:Kaspersky确认为病毒:Trojan.Win32.Agent.ut
2006-06-26 第2版 补充:Kaspersky(2006-06-26 09:06:15)、江民KV2006引擎版本:9.02.2040病毒库日期:2006-06-26均不报。


2006-06-25 第1

一位网友说,他的电脑最近不定时地浏览网页有时候很慢,有时候会弹出个莫名其妙的网页hxxp://www.88u.com。并发来了HijackThis扫描的log。

在log中,发现如下可疑项目:


O2 - BHO: IEhlprObj Class - {A3803141-3CF5-4D66-B7EA-8D2674FE152C} - C:/WINDOWS/stdie.dll

O4 - HKCU/../Run: [LocalSystem] C:/WINDOWS/system/svchost.exe



回复后,该网友将两个文件打包发了过来。


其中:svchost.exe瑞星报为Trojan.DL.Agent.alb

此文件是用Microsoft Visual C++ 7.0 [Debug]写的


通过创建命名管道MicPIP下载:


hxxp://www.ad***369.com/filmweb/webad.asp
hxxp://www.ad***369.com/filmweb/file.asp
hxxp://www.ad***369.com/filmweb/file.dat
hxxp://www.ad***369.com/filmweb/ehu.up


创建文件
1、%windir%/setupsvc.txt

2、%USERPROFILE%/Local Settings/Temp/run1.bat

文件内容为:


rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 drv1.inf


3、%USERPROFILE%/Local Settings/Temp//drv1.inf

文件内容为:


[Version]
Signature="$Windows NT$"
[DefaultInstall]
DELREG=Mydel
[Mydel]
HKCU,Software/Microsoft/Windows/CurrentVersion/Policies/System,DisableRegistryTools


4、netinfo.xml

5、%windir%/system/svchost.exe

6、%windir%/system/netshell.dll

7、%windir%/netshell.dll

修改注册表多个键值

其中最重要的一项是:


Software/Microsoft/Windows/CurrentVersion/Policies/Explorer %s.dll


来加载netshell.dll。

HijackThis的简明log中不会报告这一项。

你可能感兴趣的:([06-26] 关于病毒Trojan.DL.Agent.alb的一点分析(第3版))