网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒分析报告

Backdoor/Win32.Agent.pv分析
出处:安天实验室 时间:2009年12月11日
 

  • 病毒标签
 

病毒名称: Backdoor/Win32.Agent.pv
病毒类型: 后门
文件 MD5: EF9CAFD1FF3EAF6E828B034C8044198C
公开范围: 完全公开
危害等级: 4
文件长度: 761,344 字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0

  • 病毒描述
 

    该恶意代码文件为灰鸽子变种后门类木马,病毒运行后Load资源加密信息,包括病毒要衍生的目录、名称、上线IP地址、端口、服务名等信息,判断自身文件名是否为IEXPLORE.EXE名,如果不是则判断自身文件路径是否为%Windir%\Hacker.com.cn.exe路径下的文件,如是则退出,如不是则创建互斥量防止病毒多次运行,遍历%Windir%目录查找Hacker.com.cn.exe文件是否存在,如果存在则退出!不存在则拷贝自身到该目录下,并将文件属性设置为隐藏,创建病毒注册表服务以服务方式启动病毒,添加注册表RUN启动项,弹出信息提示框(灰鸽子远程控制服务端安装成功!)的提示信息,衍生批BAT处理文件用于删除病毒源文件,开启一个IEXPLORE.EXE进程连接网络进程通信,被感染的用户电脑将被自动开启socks与HTTP代理,感染的计算机会被作者完全操控。

  • 行为分析-本地行为
 

1、文件运行后会释放以下文件
%Windir%\Ha****.com.cn.exe

2、病毒运行后Load资源加密信息,包括病毒要衍生的目录、名臣、上线IP地址、端口、服务名等信息
7D71483ECB1A56B7DFB4884FCEA1D7E125558922255D79A522C1C3D421B361F61A9A68DB7EC3BE2F63E1E725 8E48010002373121D16F14E342C1F32DAC9F3B3527EEFD8B20F3009A0CE5E08E4079E61B371BE8EC002725AD 369FB32E1C5D1D500FE692E8DA4EE8D99779401140F928BE56698151CEFDCBCD449A90D670EAAF7D2D4177CC CFBFD1472BE6E31DAE38494CE5BDF65E8C5453C4276566142BAF95A6D8E23CF3EA4CDCF39636EBB4E079CD85 0FF853C4AABA2EBFFEE996A96E433DCE25FD94874BE4FAB79B410696BED2899B4D65345EF0EFC4F306678EA6 8F1A922981ABDEB787E4D163
解密后:
192.168.1.**| $(WinDir)\Ha****.com.cn.exe| 8000| GrayPigeon_Ha****.com.cn| 1080| guest| huigezi| 8080

3、弹出信息提示框(灰鸽子远程控制服务端安装成功!)的提示信息,衍生批BAT处理文件用于删除病毒源文件,开启一个IEXPLORE.EXE进程连接网络进程通信,被感染的用户电脑将被自动开启socks5与HTTP代理
socks5代理:
代理端口:1080
用户名:guest
密码:huigezi
http代理:
端口:8080

4、创建病毒服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Description
值: 字符串: "灰鸽子服务端程序。远程监控管理."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\DisplayName
值: 字符串: "GrayPigeon_Hacker.com.cn"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\ImagePath
值: 字符串: "C:\WINDOWS\Hacker.com.cn.exe.字符串: "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Type
值: DWORD: 272 (0x110)
描述:添加注册表服务

  • 行为分析-网络行为
 

协议:TCP
端口:8000
IP地址:192.168.1.**
描述:连接到远程IP等待控制端发送控制指令

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir%             WINDODWS所在目录
         %DriveLetter%          逻辑驱动器根目录
         %ProgramFiles%          系统程序默认安装目录
         %HomeDrive%           当前启动的系统的所在分区
         %Documents and Settings%     当前用户文档根目录
         %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
         %System32%            系统的 System32文件夹
    
         Windows2000/NT中默认的安装路径是C:\Winnt\System32
         windows95/98/me中默认的安装路径是%WINDOWS%\System
         windowsXP中默认的安装路径是%system32%

  • 清除方案
 

1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)
(1)使用ATOOL管理工具,“进程管理”强行结束IEXPLORE.EXE进程。

(2)删除病毒文件
%Windir%\Hacker.com.cn.exe

(3)删除病毒添加的服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Description
值: 字符串: "灰鸽子服务端程序。远程监控管理."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\DisplayName
值: 字符串: "GrayPigeon_Hacker.com.cn"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\ImagePath
值: 字符串: "C:\WINDOWS\Hacker.com.cn.exe.字符串: "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn\Type
值: DWORD: 272 (0x110)