Worm.Win32.Agent.t分析

Worm.Win32.Agent.t分析
出处:安天CERT
病毒标签:
病毒名称: Worm.Win32.Agent.t
病毒类型: 蠕虫类
文件 MD5: C4BFC29229607CBEA877CBC40EB5D098
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前52,736 字节,脱壳后145,920 字节
感染系统: Win98以上版本
开发工具: Borland C++ 1999
加壳类型: PECompact 2.x -> Jeremy Collake
命名对照: 趋势[TROJ_DELF.JIP]SOPHOS[Mal/Behav-097]
      NOD32[a variant of Win32/Agent.NAU worm]IKARUS[Worm.Win32.Agent.t]
      AVG[Agent.FTJ]AVAST[Win32:Delf-DTM [Wrm]]

病毒描述:
  该病毒运行后,衍生病毒副本到系统多个目录下,添加注册表多处自启动项以跟随系统引导病毒体。连接网络获取病毒更新地址以下载病毒体到本机运行。下载 的病毒程序包含后门程序、蠕虫程序、木马程序等。修改注册表相关键值,以隐藏病毒体,搜索除C以外的d-z个逻辑驱动器,在其根目录下衍生自动运行文件及 病毒副本,当用户双击盘符时,即激活病毒体。病毒衍生的程序会下载其它病毒,从而造成连锁反应,严重情况下,可造成用户down机。

行为分析:
本地行为:
1、病毒件运行后会衍生以下文件:
    %WinDir%\112.exe
    %WinDir%\121.exe    
    %WinDir%\123.exe               
    %WinDir%\444.exe                
    %WinDir%\817.exe               
    %WinDir%\concmd.dll             
    %WinDir%\netcom.dll          
    %System32%\449.exe              
    %WinDir%\Temp\~myC.tmp            
    %System32%\dirvers\2dfgbu9.sys        
    %System32%\dirvers\acpidisk.sys        
    %System32%\dirvers\mjaife1jj.sys        
    %Documents and Settings%\当前用户名\LOCALS~1\Temp\install.exe
2、新增注册表:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: " Description "
    字符串:" Network Connections Management "
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: " DisplayName "
    字符串:"Windows Accounts Driver"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "ImagePath "
    字符串:" C:\WINDOWS\System32\449.exe "
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mjaife1jj\]
    注册表值: " DisplayName "
    字符串:"mjaife1jj"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "ImagePath "
    字符串:" C:\WINDOWS\System32\drivers\mjaife1jj.sys"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: " DisplayName "
    字符串:"acpidisk"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "ImagePath "
    字符串:" C:\WINDOWS\System32\drivers\acpidisk.sys "
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "2dfgbu9System Bus Extender"
    字符串:"acpidisk"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "ImagePath "
    字符串: " C:\WINDOWS\System32\drivers\2dfgbu9.sys"
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
    注册表值: " MSetup "
    字符串: " C:\DOCUME~1\当前用户名\LOCALS~1\Temp\install.exe "
3、修改注册表
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]
    新建键值:字串:" C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\病毒副本名.exe "
    原键值:字串:""C:\WINDOWS\system32\userinit.exe"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
    新建键值:字串:" 0"
    原键值:字串:""1"
    类型:DWORD
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache]
    新建键值:字串:"C:\Documents and Settings
    \当前用户名\Local Settings\Temporary Internet Files"
    原键值:字串:"C:\WINDOWS\system32\config\systemprofile
    \Local Settings\Temporary Internet Files "
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache]
    新建键值:字串:"C:\Documents and Settings\当前用户名\Cookies"
    原键值:字串:"C:\WINDOWS\system32\config\systemprofile\Cookies"
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History]
    新建键值:字串:"C:\Documents and Settings\当前用户名\Local Settings\History"
    原键值:字串:"C:\WINDOWS\system32\config\systemprofile\Local Settings\History "
4、删除注册表键值
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    注册表值:" MSConfig "
    类型:Stirng
    字符串:" C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto "
网络行为:
1、连接目标主机:
    协议:TCP
    域名或IP地址:
    218.61.15.**端口:   7000
    218.61.19.***端口:   7000
    61.176.194.***端口:  7000
    61.176.204.***端口:  7000
    61.176.22.2.***端口:  7000
2、连接地址cha.onniro.cn(221.8.74.***)/text/****.txt病毒下载地址继而下载病毒体:
    协议:TCP
    端口:80
    hxxp://www.qqxi***ng.cn/svchost.exe
    hxxp://www.51**t.com/haohao.exe
    hxxp://huimie.xi**.net/qqqyyy.exe
    hxxp://www.jzm***.com(61.176.195.***)/m/xy.exe
    hxxp://www.48**.com(221.8.74.***)/rar/my_70136.rar
    hxxp://qqqyyy2.33**.org(218.61.18.**)/Server.exe
    hxxp://www.ad99**.com(218.61.18.**)/qqqyyy.exe
    hxxp://www.48**.com(221.8.74.***)/rar/socvher.rar
    hxxp://www.4***.com/rar/my_70136.rar
    hxxp://www.tud***.net(222.169.224.**)/ad/bd2.rar
    hxxp://www.tud***.net(222.169.224.**)/ad/bd4.rar
    hxxp://www.tud***.net(222.169.224.**)/ad/bd6.rar
    hxxp://www.tud***.net(222.169.224.**)/ad/bd8.rar
注:  %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32        

   
清除方案:
   1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用安天木马防线“进程管理”关闭病毒进程:
        112.exe
        121.exe
        123.exe
        444.exe
        817.exe
        449.exe 
    (2)恢复病毒修改的注册表项目,删除病毒添加的注册表项:                
             [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
             新建键值:字串:" 0"
        原键值:字串:""1"
        类型:DWORD
    (3)删除病毒文件:
        %WinDir%\112.exe
        %WinDir%\121.exe
        %WinDir%\123.exe
        %WinDir%\444.exe
        %WinDir%\817.exe
        %WinDir%\concmd.dll
        %WinDir%\netcom.dll
        %System32%\449.exe
        %WinDir%\Temp\~myC.tmp
        %System32%\dirvers\2dfgbu9.sys
        %System32%\dirvers\acpidisk.sys
        %System32%\dirvers\mjaife1jj.sys
        %Documents and Settings%\当前用户名\LOCALS~1
        \Temp\install.exe
    (4)恢复病毒修改的注册表项目,删除病毒添加的注册表项。

你可能感兴趣的:(职场,分析,病毒,休闲)