Trojan/Win32.Agent.aody[Clicker]分析

病毒标签

病毒名称： Trojan/Win32.Agent.aody[Clicker]
病毒类型： 木马
文件 MD5： B3C42330465458DE61C0476BE29CF6CE
公开范围： 完全公开
危害等级： 4
文件长度： 121,344 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0

病毒描述

    该恶意代码为木马类，病毒运行后，动态加载大量系统库文件，动态获取大量API函数，创建一个iexplore.exe进程，将地址00400000处病毒代码写入到该进程中，连接读取网页信息下载病毒文件。
    下载的病毒文件运行后复制自身并衍生DLL文件到%System32%目录下，添加注册表启动项，后台隐藏连接大量网站地址，从而达到点击网站从中获利的目的，病毒运行完毕后使用BAT批处理删除自身文件，被感染的用户会造成网速大大下降，影响了用户正常浏览网页。

行为分析-本地行为

1、动态加载大量系统库文件，动态获取大量API函数，创建一个iexplore.exe进程，将地址00400000处病毒代码写入到该进程中，连接读取网页信息下载病毒文件，下载的病毒文件运行后会后台隐藏连接大量网站地址，病毒运行完毕后使用BAT批处理删除自身文件。

2、文件运行后会释放以下文件
%System32%\winset.ini
%System32%\zpce.exe （4位随机病毒名）

3、添加注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cftmon
值: 字符串: "C:\WINDOWS\system32\livk.exe"
描述：添加注册表启动项

行为分析-网络行为

协议：TCP
端口：80
连接域名地址：http://www.yahoomailchecking***.com/first.php
描述：连接以上地址按配置信息连接以下链接下载病毒文件
35http://www.netspond***.com/hgcheck.exe

一旦运行了下载的病毒文件，将后台隐藏连接大量网站地址按参数点击以下包含的网站
GET /getwork.php?machineid=8745522512521799452995760&pubuserid=kfc&checkversion=35 HTTP/1.1
Content-Type: text/html
Host: www.yahoomailchecking***.com
Accept: text/html, */*

HTTP/1.1 200 OK
Date: Tue, 05 May 2009 04:02:18 GMT
Server: Apache/2.0.63 (Unix) mod_ssl/2.0.63 OpenSSL/0.9.8b mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 PHP/5.2.8
X-Powered-By: PHP/5.2.8
Content-Length: 1609
Content-Type: text/html

http://www.yahoomailchecking***.com/http://www.qq-com-qb***.com/
http://www.qqb365***.net/35http://www.netspond***.com/hgcheck.exe[open][1]
http://www.google.com/[delay]2[open][1]
http://www.lynxtrack***.com/afclick.php?o=8237&b=m6yp6g62&p=6802&l=1&c=67086,
http://www.gpcconsulting***.net[delay]5[complete][1][delay]7[open][1]
http://www.incentaclick***.com/nclick.php?id=27200&cid=6004,
http://www.weightlossresearch***.biz[delay]8[complete][1][delay]5[open][1]
http://click.linkstattrack***.com/zoneId/256519,
http://www.trust42***.com[delay]8[complete][1][delay]6[open][1]
http://www.thebizoppnetwork***.com/z/11879/CD171/,[delay]8[complete][1][delay]5[open][1]
http://click.linkstattrack***.com/zoneId/258103,
http://www.financeare***.com[delay]6[complete][1][delay]7[open][1]
http://network***.triadmedianetwork.com/42/8180/19784/,
http://www.fight-fat***.info[delay]3[complete][1][delay]5[open][1]
http://www.consumerincentiverewards***.com/rd_p?
p=173123&t=2863&c=34311-ipodtrv_728_pzhallepostbabya&a=Custom_Variable_For_This_Creative_Here,
http://www.erasdirect.com[delay]6[complete][1][delay]7[open][1]
http://www.onlinerewardcenter***.com/rd_p?
p=173126&t=568&c=36304-xboxwiips3014_180_pzwhopari&a=Custom_Variable_For_This_Creative_Here,
http://www.erasdirect***.com[delay]5[complete][1][delay]52024,2049,1982,2007,2081,2061,2067,2029,2025,

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
　　　　 %Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　 %DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　 %ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　 %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　 %Documents and Settings% 　　　当前用户文档根目录
　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
　　　　 %System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　 Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　 windows95/98/me中默认的安装路径是%WINDOWS%\System
　　　　 windowsXP中默认的安装路径是%system32%

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/index.htm)。
（1）先打开Atool工具结束iexolore.exe进程

（2）强行删除病毒衍生的文件
%System32%\winset.ini
%System32%\zpce.exe

（3）删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cftmon
删除Run键下的cftmon键值