网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒分析报告

Backdoor/Win32.Wuca.bj分析
出处:安天实验室 时间:2009年6月23日
 

  • 病毒标签
 

病毒名称: Backdoor/Win32.Wuca.bj
病毒类型: 后门
文件 MD5: 2A1AEF106795864CA9DB643A116807DC
公开范围: 完全公开
危害等级: 4
文件长度: 9,728 字节
感染系统: Windows98以上版本
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
开发工具: Microsoft Visual C++ 6.0

  • 病毒描述
 

    该恶意代码属后门类,病毒运行后提升进程权限,在%HomeDrive%系统所在分区下创建名为“sa.exe”的目录,并将该目录属性设置为隐藏只读,使用命令行结束“wuauclt.exe”Windows自动升级管理程序进程,然后拷贝自身病毒文件到字体库文件目录下并命名为“wuauclt.exe”以达到伪装Windows自动升级管理程序文件,调用API函数启动拷贝后的病毒文件,最后使用CMD命令删除病毒原文件,被启动后的病毒判断自身进程路径是否来自“\fonts\wuauclt.exe”目录下,如不是则重新创建、如是加载系统动态库文件“urlmon.dll”,并调用该库里的"URLDownloadToFileA"函数,连接网络下载病毒文件并保存到字体库目录下,比较该目录文件是否存在不存在则弹出消息框退出,如存在则创建多个线程,创建注册表启动项,下载的病毒文件有修改IE主页、利用QQ聊天软件传播病毒自身文件关闭安全软件等操作行为。

  • 行为分析-本地行为
 

1、文件运行后会释放以下文件
%Windir%\Fonts\gern.fon (该文件为病毒连网读取的下载列表文件可能随时变化)
%Windir%\Fonts\SVCH0ST.EXE (该病毒文件查找QQ聊天窗口找到与中的窗口则将病毒打包为:密码sex张柏芝艳照.rar发送给对方)
%Windir%\Tasks\explorer.exe
%Windir%\Tasks\SA.PIF

2、修改、添加注册表病毒启动项
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
新: 字符串: "http://luck114***.vu.cx/"
旧: 字符串: "http://www.baidu***.com/"
描述: 修改IE主页

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\360safe
值: 字符串: "C:\WINDOWS\Fonts\wuauclt.exe"
描述:添加病毒启动项

3、用命令行“cmd /c taskkill /im wuauclt.exe /f”结束“wuauclt.exe”Windows自动升级管理程序进程,被启动后的病毒判断自身进程路径是否来自“\fonts\wuauclt.exe”目录下,如不是则重新创建、如是加载系统动态库文件“urlmon.dll”,并调用该库里的"URLDownloadToFileA"函数,连接网络:http://360.1s***.fr/ps.jpg下载病毒文件并保存到"C:\WINDOWS\Fonts\gern.fon"字体库目录下。

4、比较该目录文件是否存在不存在则弹出标题为“http”内存为“qq935623508”的消息框然后退出,下载的病毒文件有修改IE主页、利用QQ聊天软件传播病毒自身文件关闭安全软件等操作行为。

  • 行为分析-网络行为
 

协议:TCP
端口:80
连接服务器名:http://360.1s***.fr/ps.jpg
描述:连接读取的列表内容下载病毒文件:
[index]
homepage=http://luck114***.vu.cx/
[pop]
1=http://msm.moneyinfom***.com
count=1
time=40
[msg]
talk=美女qq935623508的照片http://guantianyu***.com/images/pp.jpg
[file]
send=http://cav.be***.ma/dd/b.gif
[buffer]
addr=http://cav.be***.ma/x.css

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%             WINDODWS所在目录
        %DriveLetter%          逻辑驱动器根目录
        %ProgramFiles%          系统程序默认安装目录
        %HomeDrive%           当前启动的系统的所在分区
        %Documents and Settings%    当前用户文档根目录
        %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
        %System32%           系统的 System32文件夹
    
        Windows2000/NT中默认的安装路径是C:\Winnt\System32
        windows95/98/me中默认的安装路径是C:\Windows\System
        windowsXP中默认的安装路径是C:\Windows\System32

  • 清除方案
 

1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)
(1)使用ATOOL“进程管理”结束病毒进程:SVCH0ST.EXE(非System32目录下的进程)

(2)强行删除病毒文件
%Windir%\Fonts\gern.fon
%Windir%\Fonts\SVCH0ST.EXE
%Windir%\Tasks\explorer.exe
%Windir%\Tasks\SA.PIF

(3)删除病毒服务注册表项
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
新: 字符串: "http://luck114***.vu.cx/"
旧: 字符串: "http://www.baidu***.com/"
修复注册表旧值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\360safe
值: 字符串: "C:\WINDOWS\Fonts\wuauclt.exe"
删除病毒启动项