Trojan/Win32.Geral.clg[Downloader]分析

病毒标签

病毒名称： Trojan/Win32.Geral.clg[Downloader]
病毒类型： 木马下载器
文件 MD5： EE276B908C239C9C986A5001E462383D
公开范围： 完全公开
危害等级： 4
文件长度： 12,800 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0

病毒描述

    该恶意代码为下载者木马，病毒运行后创建互斥量名为："XETTETT......"，使用cacls命令对%System32%与%Temp%目录进行提权操作，给予当前用户完全控制权，使用net命令停止系统服务关闭禁用防火墙服务，对进程提权操作、拷贝系统文件到临时目录下，动态加载被拷贝后的系统文件，动态获取多个网络API函数，添加注册表启动项、连接网络读取TX列表将列表下载到本地读取列表下载大量恶意病毒文件。

行为分析-本地行为

1、病毒运行后创建互斥量名为："XETTETT......"，使用以下命令对%System32%与%Temp%目录进行提权操作：
"cmd /c cacls C:\WINDOWS\system32 /e /p everyone:f"
"cmd /c cacls "C:\DOCUME~1\a\LOCALS~1\Temp\" /e /p everyone:f"

2、创建病毒启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Soft
值: 字符串: "C:\WINDOWS\system32\scvhost.exe"
描述：添加注册表启动项

3、使用以下命令停止系统服务关闭禁用防火墙服务，对进程提权操作：
"cmd /c net stop wscsvc"
"cmd /c net stop SharedAccess"
"cmd /c sc config sharedaccess start= disabled"

4、拷贝%system32%目录下的wininet.dll文件到临时目录下重命名为ope1.tmp，动态加载ope1.tmp文件，动态获取以下几个网络API函数：
"InternetOpenA"、"InternetOpenUrlA"、"InternetReadFile"、"InternetCloseHandle"

行为分析-网络行为

连接网络读取http://www.99h***.com/aa17ym.txt下载大量恶意病毒文件

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　 %DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　 %ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　 %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　 %Documents and Settings% 　　　当前用户文档根目录
　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
　　　　 %System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
　　　　 Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　 windows95/98/me中默认的安装路径是C:\Windows\System
　　　　 windowsXP中默认的安装路径是C:\Windows\System32　　　

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiyfx.com/download/atool.zip)。
（1） 使用ATOOL进程管理结束病毒进程，强行删除病毒下载的大量病毒文件。

（2）删除病毒创建的注册表RUN启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Soft
值: 字符串: "C:\WINDOWS\system32\scvhost.exe"