Trojan/Win32.Agent.aofn[Dropper]分析

病毒标签

病毒名称： Trojan/Win32.Agent.aofn[Dropper]
病毒类型： 木马
文件 MD5： 709B712A0E289F22D9160B94636D58D9
公开范围： 完全公开
危害等级： 4
文件长度： 36,880 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual Basic 5.0 / 6.0
加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

病毒描述

    该病毒为木马类，该病毒图标为windows系统垃圾回收站图标，并且有完成版本信息，其公司名为“360安全卫士”；病毒完全运行后，首先在%system32%目录下复制自身、释放注册表导入文件添加映像劫持，其目的躲避杀软主动防御；在%Windir%\Cursors下释放taskmgr.exe，并运行，用以迷惑用户误认为任务管理器进程，并分别在%Windir%\Cursors和%Windir%\system32\wbem目录进行本体备份；通过修改注册表添加病毒启动项和服务项，其中服务项名为“Microsoft Vista”，发行商为“360安全卫士”，并在描述中用“系统登陆初始界面，终止该服务将导致系统不能正常登陆”字样迷惑用户，使其不敢轻易终止该服务项；该病毒还通过修改注册表，使其在开关机时达到病毒自动运行的目的；病毒完全运行后删除自身；连接网络下载病毒文件；下载病毒中包含木马下载者类病毒会下载大量病毒，甚至导致计算机死机。

行为分析-本地行为

1、文件运行后会释放以下文件
%Windir%\Cursors\beifen.exe
%Windir%\Cursors\taskmgr.exe
%System32%\（病毒名称，任意。）.exe
%System32%\regedit.reg
%System32%\wbem\fonts.exe

2、通过运行regedit.reg，导入映像劫持项。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
"Debugger"="svchost.exe"

safeboxTray.exe、ekrn.exe、egui.exe、360safebox.exe、360tray.exe、ACKWIN32.exe、ANTI-TROJAN.exe、anti.exe、antivir.exe、APVXDWIN.exe、atrack.exe、AVCONSOL.exe、AVE32.exe、AVGCTRL.exe、avk.exe、AVKSERV.exe、avp.exe、avp32.exe、AVPCC.exe、avpdos32.exe、AVPM.exe、AVPMON.exe、AVPNT.exe、AVPTC32.exe、AVPUPD.exe、AVSCHED32.exe、avsynmgr.exe、AVWIN95.exe、avxonsol.exe、bdagent.exe、BLACKD.exe、BLACKICE.exe、CCenter.exe、CFIADMIN.exe、CFIAUDIT.exe、CFIND.exe、cfinet.exe、cfinet32.exe、CLAW95.exe、CLAW95CT.exe、CLEANER.exe、CLEANER3.exe、DAVPFW.exe、debu.exe、DV95.exe、DV95_O.exe、DVP95.exe、ECENGINE.exe、EFINET32.exe、egui.exe、ESAFE.exe、ESPWATCH.exe、explorewclass.exe、F-AGNT95.exe、F-PROT.exe、f-prot95.exe、F-STOPW.exe、FINDVIRU.exe、fir.exe、fp-win.exe、IAMAPP.exe、IAMSERV.exe、IBMASN.exe、IBMAVSP.exe、ice.exe、IceSword.exe、ICLOAD95.exe、ICLOADNT.exe、ICMOON.exe、ICSSUPPNT.exe、iom.exe、iomon98.exe、JED.exe、Kabackreport.exe、Kasmain.exe、kav32.exe、kavstart.exe、kissvc.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRF.exe、KVMonXP.exe、KVPreScan.exe、kwatch.exe、lamapp.exe、lockdown2000.exe、LOOKOUT.exe、luall.exe、LUCOMSERVER.exe、mcafee.exe、mon.exe、moniker.exe、MOOLIVE.exe、MPFTRAY.exe、N32ACAN.exe、navapsvc.exe、navapw32.exe、NAVLU32.exe、NAVNT.exe、navrunr.exe、NAVSCHED.exe、NAVW.exe、NAVW32.exe、navwnt.exe、nisserv.exe、nisum.exe、NMAIN.exe、NORMIST.exe、norton.exe、NUPGRADE.exe、NVC95.exe、office.exe、OUTPOST.exe、PADMIN.exe、PAVCL.exe、pcc.exe、PCCClient.exe、pccguide.exe、pcciomon.exe、pccmain.exe、pccwin98.exe、PCFWALLICON.exe、PERSFW.exe、pop3trap.exe、PpPpWallRun.exe、program.exe、prot.exe、pview95.exe、ras.exe、RAV7.exe、rav7win.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、rescue32.exe、Rfw.exe、rn.exe、safeboxTray.exe、safeweb.exe、scam32.exe、scan.exe、SCAN32.exe、SCANPM.exe、scon.exe、SCRSCAN.exe、seccenter.exe、secu.exe、SERV95.exe、sirc32.exe、SMC.exe、smtpsvc.exe、SPHINX.exe、spy.exe、SWEEP95.exe、symproxysvc.exe、TBSCAN.exe、TCA.exe、Tmntsrv.exe、TMOAgent.exe、tmproxy.exe、tmupdito.exe、TSC.exe、UlibCfg.exe、vavrunr.exe、VET95.exe、VETTRAY.exe、vir.exe、VPC32.exe、VSECOMR.exe、vshwin32.exe、VSSCAN40、vsstat.exe、WEBSCAN.exe、WEBSCANX.exe、webtrap.exe、WFINDV32.exe、windows优化大师.exe、wink.exe、zonealarm.exe、_AVP32.exe、_AVPCC.exe、_AVPM.exe

3、修改注册表，添加启动项、服务、开机运行。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_VISTA\0000\Control
项：ActiveService
键值: “Microsoft Vista”
描述：设置服务项名称

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista
项：Description
键值: "系统登陆初始界面，终止该服务将导致系统不能正常登陆"
描述：设置服务描述

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista
项: ImagePath
类型: REG_EXPAND_SZ
键值：C:\WINDOWS\Cursors\taskmgr.exe
描述：设置服务映像文件路径。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
项：StormCodec_Helper
键值: "C:\WINDOWS\system32\(病毒运行时名字，任意).exe
描述：设置病毒自启动项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Shutdown\0\0
项：Script
键值: "C:\WINDOWS\System32\(病毒运行时名字，任意).exe"
描述：设置病毒启动项

行为分析-网络行为

并自动连接网络。后台开启IE
Ip地址：58.215.79.***
端口：80
协议：http
下载地址：
http://58.215.79.***:88/6.exe
http://58.215.79.***:8080/yang.exe
http://58.215.79.***:88/cpa.exe
http://www.rtmmd***.cn/h/101.exe
http://58.215.79.***:88/a.exe
http://58.215.79.***:88/7.exe-
http://58.215.79.***:88/10.exe-

    注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/index.htm)。
(1) 使用安天防线工具中的“进程管理”结束病毒进程
taskmgr.exe
(病毒名称，任意).exe
fonts.exe

(2) 删除病毒文件
%Windir%\Cursors\beifen.exe
%Windir%\Cursors\taskmgr.exe
%System32%\(病毒名称，任意).exe
%System32%\regedit.reg
%System32%\wbem\fonts.exe
(3) 恢复注册表
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_VISTA\0000\Control
项：ActiveService
键值: “Microsoft Vista”
描述：设置服务项名称

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista
项：Description
键值: "系统登陆初始界面，终止该服务将导致系统不能正常登陆"
描述：设置服务描述

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Vista
项: ImagePath
类型: REG_EXPAND_SZ
键值：C:\WINDOWS\Cursors\taskmgr.exe
描述：设置服务映像文件路径。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
项：StormCodec_Helper
键值: "C:\WINDOWS\system32\(病毒运行时名字，任意).exe
描述：设置病毒自启动项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine\Scripts\Shutdown\0\0
项：Script
键值: "C:\WINDOWS\System32\(病毒运行时名字，任意).exe"
描述：设置病毒启动项。