警惕覆盖文件类的病毒（Trojan.Win32.Agent.cli ）

文件名称：一个被感染的文件

 

文件大小：61440 byte（系统显示60K）

 

AV命名：Trojan.Win32.Agent.cli [AVP]

 

加壳方式：未

 

编写语言：Microsoft Visual C++ 6.0

 

病毒类型：感染类病毒

 

文件MD5：1b9fc1f8d919a3a597fae7e54bfc4f0

 

病毒描述：

 

     该病毒为VC编写，未加壳，目前大部分杀软都无法检测。运行后，会覆盖除C盘外的所有EXE和COM格式文件。并于后台开启网络线程刷某网站流量，关闭一些特定的字体，导致浏览器无法正常使用。

 

行为分析：

 

1、运行病毒体，释放其他副本：

 

C:\Program Files\Internet Explorer\SVCH0ST.EXE 49152 字节

C:\Program Files\Internet Explorer\winoperl.sys 3039 字节

C:\Program Files\Windows Media Player\smigrate.exe 20480 字节

C:\WINNT\system32\WinRSLD.dll 28672 字节

 

2、读取磁盘文件，查找D-H盘的".exe"、".com"文件并覆盖！！如文件大于2011571600则删除，不覆盖。

 

遇到".gho"也删除。

 

覆盖后的感染标记应该是"XXC"，避免反复感染

 

这导致系统所有的可执行程序都成病毒体。。恢复可能性为0

 

3、反注册一些Dll文件，使系统一些功能失效：

 

/u /s shimgvw.dll

/u /s itss.dll

/u /s scrrun.dll

/u /s vbscript.dll

 

4、注册病毒文件： /s WinRSLD.dll，刷流量用的。。

 

5、SVCH0ST.EXE驻进程，于后台不停刷新某网页流量。

 

5、查找C-H盘，根据系统目录查找系统的一些提示音，并删除：

 

X:\WINDOWS\Media\Windows XP 开始.wav
X:\WINDOWS\Media\Windows XP 信息栏.wav
X:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav

 

6、smigrate.exe注册为系统服务，开机自启：

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecondarySENS]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,\
00,73,00,20,00,4d,00,65,00,64,00,69,00,61,00,20,00,50,00,6c,00,61,00,79,00,\
65,00,72,00,5c,00,73,00,6d,00,69,00,67,00,72,00,61,00,74,00,65,00,2e,00,65,\
00,78,00,65,00,00,00
"DisplayName"="SecondarySENS"
"ObjectName"="LocalSystem"
"Description"="系统事件通知服务(SENS)，此服务为订阅组件对象模型(COM)组件事件提供自动分布功能。如

果禁用此服务，显式依赖此服务的其他服务将无法启动"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecondarySENS\Security]
"Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,70,00,04,00,00,00,00,00,18,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,00,00,00,00,1c,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,00,00,00,00,18,00,8d,01,02,00,01,01,00,00,00,\
00,00,05,0b,00,00,00,20,02,00,00,00,00,1c,00,fd,01,02,00,01,02,00,00,00,00,\
00,05,20,00,00,00,23,02,00,00,00,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecondarySENS\Enum]
"0"="Root\\LEGACY_SECONDARYSENS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

7、修改注册表，禁用一些IE功能：

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Videos
Display Inline Videos
REG_SZ, "yes " ==> REG_SZ, "no "

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Enable AutoImageResize
Enable AutoImageResize
REG_SZ, "yes " ==> REG_SZ, "no "

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Animations
Play_Animations
REG_SZ, "yes " ==> REG_SZ, "no "

 

这包括禁止IE自动播发在线视频、动画和自动适应屏幕大小，

 

还有其他的，如禁止脚本调试、禁用ActiveX 控件等等，不发了

 

哈哈``别指望病毒帮你系统优化，其实是在后台刷流量怕太卡了，请允许我鄙视一下。

 

8、如果发现以下窗口，则发送关闭命令：

 

内存
rror
安全
.wmf
错误
服务器正在
主页
cript
收藏

哈，看来是针对IE的，刷网页流量的铺脚石

 

8 、关闭出现在窗口的属性页，可能是防止病毒属性被修改吧：

 

.exe
:\
.com
.bat

 

9、其中释放出来的驱动：winoperl.sys，检测系统进程状况。

 

如果运行了被感染的文件，在满足一定条件下（进程有多个病毒体被执行），那么这次请求会失败。

 

然后会释放个P处理，删除这个文件。

 

可能是病毒怕拖跨了系统，哈哈``

 

最大限制方法：

 

下载PowerRmv和SREng：

 

[url]www.kingzoo.com/tools/[/url]孤独更可靠/PowerRmv.com

 

[url]www.kingzoo.com/tools/[/url]孤独更可靠/sreng2.5.zip

 

1、断开网络，打开PowerRmv，选上抑制杀灭对象生成，填入：

C:\Program Files\Internet Explorer\SVCH0ST.EXE

C:\Program Files\Internet Explorer\winoperl.sys

C:\Program Files\Windows Media Player\smigrate.exe

C:\WIndows\system32\WinRSLD.dll

 

2、SREng，删除：

 

[SecondarySENS / SecondarySENS][Running/Auto Start]
<C:\Program Files\Windows Media Player\smigrate.exe><N/A>

 

3、升级杀毒软件，如还不能识别的话，上报`````