安全响应·Security
病毒分析报告·Report

Trojan-Downloader.Win32.VB.afs分析

2006 年 07 月 24 日
安天CERT

病毒标签:

病毒名称: Trojan-Downloader.Win32.VB.afs
病毒类型: 木马类
文件 MD5: f6906b88c0cfa219cb7217711c958525
公开范围: 完全公开
危害等级: 中等
文件长度: 4,645 字节
感染系统: Win9X以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
命名对照: Symentec[无]
      Mcafee[无]
病毒描述:

   改病毒运行后,分别在%\System32%\%\Windir%\释放若干文件。而后添加注册自动运行项,以达到开机启动斩目的。接着调用%\System32\%SVCHOST和%\Windir\%KB235780M.LOG文件连接远程地址,下载Svh0st.exe到本机运行。该病毒对用户有一定危害性。
行为分析:

1、释放文件夹及相关文件:

%\System32\%netdrv.exe
%\System32\%SVCHOST.exe
%\System32\%WinSvc.exe
%\System32\%WinExec.exe
%\System32\%ntdll32.dll
%\System32\%wdata32.dll
%\System32\%old.txt
%\System32\%WinSvc.log
%\Windir\%KB235780M.LOG
%\ Windir \%Q22426.LOG
%\ Windir \%235780.DLL
%\ Windir \% Svh0st.DLL
%\ Windir \%Svh0st.exe
Trojan-Downloader.Win32.Small.cyd
Trojan-Downloader.Win32.VB.afs





Trojan-PSW.Win32.Lmir.yy

Trojan-PSW.Win32.Lmir.avg
Packed.Win32.NSAnti

2、新建注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Net Driver
值: 字符串: "C:\WINNT\System32\netdrv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\SVCH0ST
值: 字符串: "C:\WINNT\System32\SVCH0ST.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\WinSvc
值: 字符串: "C:\WINNT\System32\WinSvc.exe"

3、病毒运行后连接下列地址:

58.215.***.207

注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案 :
 

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件:

%\System32\%netdrv.exe
%\System32\%SVCHOST.exe
%\System32\%WinSvc.exe
%\System32\%WinExec.exe
%\System32\%ntdll32.dll
%\System32\%wdata32.dll
%\System32\%old.txt
%\System32\%WinSvc.log
%\Windir\%KB235780M.LOG
%\ Windir \%Q22426.LOG
%\ Windir \%235780.DLL
%\ Windir \% Svh0st.DLL
%\ Windir \%Svh0st.exe

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Net Driver
值: 字符串: "C:\WINNT\System32\netdrv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\SVCH0ST
值: 字符串: "C:\WINNT\System32\SVCH0ST.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\WinSvc
值: 字符串: "C:\WINNT\System32\WinSvc.exe"
附:
  安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:

  木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。

  • 高效木马查杀 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
  • 系统安全管理
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
  • 实时网络防护
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
关于安天:
 

  安天信息技术有限责任公司(中国安天实验室,Antiy Labs),是一家以网络信息安全为主要领域的综合性信息技术研发型企业。公司在反病毒、信息水印等前沿领域积极探索,持续研发,拥有自有核心技术和产品。

   安天积极推动核心技术向关键产品的转化。安天目前是国内最大的独立可嵌入反病毒引擎和内容过滤体制供应商,在网络病毒监控设备、反木马与主机保护等领域,安天的相关产品也引领着市场需求与技术风潮。
[TOP]