[06-26] 关于病毒Trojan.DL.Agent.alb的一点分析(第3版)

endurer　原创

2006-06-26　第3版 补充：Kaspersky确认为病毒：Trojan.Win32.Agent.ut
2006-06-26　第2版 补充：Kaspersky（2006-06-26 09:06:15）、江民KV2006引擎版本：9.02.2040病毒库日期：2006-06-26均不报。

2006-06-25　第1版

一位网友说，他的电脑最近不定时地浏览网页有时候很慢，有时候会弹出个莫名其妙的网页hxxp://www.88u.com。并发来了HijackThis扫描的log。

在log中，发现如下可疑项目：

---

O2 - BHO: IEhlprObj Class - {A3803141-3CF5-4D66-B7EA-8D2674FE152C} - C:/WINDOWS/stdie.dll

O4 - HKCU/../Run: [LocalSystem] C:/WINDOWS/system/svchost.exe

---

回复后，该网友将两个文件打包发了过来。

其中：svchost.exe瑞星报为Trojan.DL.Agent.alb

此文件是用Microsoft Visual C++ 7.0 [Debug]写的

通过创建命名管道MicPIP下载：

---

hxxp://www.ad***369.com/filmweb/webad.asp
hxxp://www.ad***369.com/filmweb/file.asp
hxxp://www.ad***369.com/filmweb/file.dat
hxxp://www.ad***369.com/filmweb/ehu.up

---

创建文件
1、%windir%/setupsvc.txt

2、%USERPROFILE%/Local Settings/Temp/run1.bat

文件内容为：

---

rundll32 syssetup,SetupInfObjectInstallAction DefaultInstall 128 drv1.inf

---

3、%USERPROFILE%/Local Settings/Temp//drv1.inf

文件内容为：

---

[Version]
Signature="$Windows NT$"
[DefaultInstall]
DELREG=Mydel
[Mydel]
HKCU,Software/Microsoft/Windows/CurrentVersion/Policies/System,DisableRegistryTools

---

4、netinfo.xml

5、%windir%/system/svchost.exe

6、%windir%/system/netshell.dll

7、%windir%/netshell.dll

修改注册表多个键值

其中最重要的一项是：

---

Software/Microsoft/Windows/CurrentVersion/Policies/Explorer %s.dll

---

来加载netshell.dll。

HijackThis的简明log中不会报告这一项。