安全响应·Security
病毒分析报告·Report

Worm.Win32.Agent.t分析

出处:安天CERT 时间:2007-08-23 15:00

病毒标签:

病毒名称: Worm.Win32.Agent.t
病毒类型: 蠕虫类
文件 MD5: C4BFC29229607CBEA877CBC40EB5D098
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前52,736 字节,脱壳后145,920 字节
感染系统: Win98以上版本
开发工具: Borland C++ 1999
加壳类型: PECompact 2.x -> Jeremy Collake
命名对照: 趋势      [TROJ_DELF.JIP]
      SOPHOS     [Mal/Behav-097]
      NOD32     [a variant of Win32/Agent.NAU worm]
      IKARUS     [Worm.Win32.Agent.t]
      AVG       [Agent.FTJ]
      AVAST     [Win32:Delf-DTM [Wrm]]

病毒描述:

  该病毒运行后,衍生病毒副本到系统多个目录下,添加注册表多处自启动项以跟随系统
引导病毒体。连接网络获取病毒更新地址以下载病毒体到本机运行。下载的病毒程序包含后
门程序、蠕虫程序、木马程序等。修改注册表相关键值,以隐藏病毒体,搜索除C以外的d-z
个逻辑驱动器,在其根目录下衍生自动运行文件及病毒副本,当用户双击盘符时,即激活病
毒体。病毒衍生的程序会下载其它病毒,从而造成连锁反应,严重情况下,可造成用户down
机。
行为分析:

本地行为:

1、病毒件运行后会衍生以下文件:

    %WinDir%\112.exe                 20,480 字节
    %WinDir%\121.exe                 25,088 字节
    %WinDir%\123.exe                 22,993 字节
    %WinDir%\444.exe                 234,496 字节
    %WinDir%\817.exe                 143,360 字节
    %WinDir%\concmd.dll                4,096 字节
    %WinDir%\netcom.dll                237 字节
    %System32%\449.exe                13,878 字节
    %WinDir%\Temp\~myC.tmp              176,128 字节
    %System32%\dirvers\2dfgbu9.sys          17,664 字节
    %System32%\dirvers\acpidisk.sys          199,268 字节
    %System32%\dirvers\mjaife1jj.sys         20,352 字节
    %Temp%\install.exe

2、新增注册表:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: " Description "
    字符串:" Network Connections Management "
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: " DisplayName "
    字符串:"Windows Accounts Driver"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "ImagePath "
    字符串:" C:\WINDOWS\System32\449.exe "

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mjaife1jj\]
    注册表值: " DisplayName "
    字符串:"mjaife1jj"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "ImagePath "
    字符串:" C:\WINDOWS\System32\drivers\mjaife1jj.sys"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: " DisplayName "
    字符串:"acpidisk"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "ImagePath "
    字符串:" C:\WINDOWS\System32\drivers\acpidisk.sys "

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "2dfgbu9System Bus Extender"
    字符串:"acpidisk"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\]
    注册表值: "ImagePath "
    字符串: " C:\WINDOWS\System32\drivers\2dfgbu9.sys"

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
    注册表值: " MSetup "
    字符串: " %Temp%\install.exe "

3、修改注册表

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows NT\CurrentVersion\Winlogon\Userinit]
    新建键值:字串:" C:\WINDOWS\system32
    \userinit.exe,c:\WINDOWS\病毒副本名.exe "
    原键值:字串:""C:\WINDOWS\system32\userinit.exe"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Explorer\Advanced\Folder\Hidden
    \SHOWALL\CheckedValue]
    新建键值:字串:" 0"
    原键值:字串:""1"
    类型:DWORD

    [HKEY_USERS\.DEFAULT\Software\Microsoft
    \Windows\CurrentVersion\Explorer\Shell Folders\Cache]
    新建键值:字串:"C:\Documents and Settings
    \当前用户名\Local Settings\Temporary Internet Files"
    原键值:字串:"C:\WINDOWS\system32\config\systemprofile
    \Local Settings\Temporary Internet Files "

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
    \CurrentVersion\Explorer\Shell Folders\Cache]
    新建键值:字串:"C:\Documents and Settings\当前用户名\Cookies"
    原键值:字串:"C:\WINDOWS\system32\config\systemprofile\Cookies"

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows
    \CurrentVersion\Explorer\Shell Folders\History]
    新建键值:字串:"C:\Documents and Settings\当前用户名
    \Local Settings\History"
    原键值:字串:"C:\WINDOWS\system32\config\systemprofile
    \Local Settings\History "

4、删除注册表键值

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
    注册表值:" MSConfig "
    类型:Stirng
    字符串:" C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto "

网络行为:

1、连接目标主机:
    协议:TCP
    域名或IP地址:
    218.61.15.**端口:   7000
    218.61.19.***端口:   7000
    61.176.194.***端口:  7000
    61.176.204.***端口:  7000
    61.176.22.2.***端口:  7000
2、连接地址cha.onniro.cn(221.8.74.***)/text/****.txt病毒下载地址继而下载病毒体:
    协议:TCP
    端口:80
    http://www.qqxi***ng.cn/svchost.exe
    http://www.51**t.com/haohao.exe
    http://huimie.xi**.net/qqqyyy.exe
    http://www.jzm***.com(61.176.195.***)/m/xy.exe
    http://www.48**.com(221.8.74.***)/rar/my_70136.rar
    http://qqqyyy2.33**.org(218.61.18.**)/Server.exe
    http://www.ad99**.com(218.61.18.**)/qqqyyy.exe
    http://www.48**.com(221.8.74.***)/rar/socvher.rar
    http://www.4***.com/rar/my_70136.rar
    http://www.tud***.net(222.169.224.**)/ad/bd2.rar
    http://www.tud***.net(222.169.224.**)/ad/bd4.rar
    http://www.tud***.net(222.169.224.**)/ad/bd6.rar
    http://www.tud***.net(222.169.224.**)/ad/bd8.rar

注:  %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32        

 
清除方案:
 

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1)使用安天木马防线“进程管理”关闭病毒进程:
        112.exe
        121.exe
        123.exe
        444.exe
        817.exe
        449.exe 
    (2)恢复病毒修改的注册表项目,删除病毒添加的注册表项:                  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
        \CurrentVersion\Explorer\Advanced\Folder\Hidden
        \SHOWALL\CheckedValue]
        新建键值:字串:" 0"
        原键值:字串:""1"
        类型:DWORD
    (3)删除病毒文件:
        %WinDir%\112.exe
        %WinDir%\121.exe
        %WinDir%\123.exe
        %WinDir%\444.exe
        %WinDir%\817.exe
        %WinDir%\concmd.dll
        %WinDir%\netcom.dll
        %System32%\449.exe
        %WinDir%\Temp\~myC.tmp
        %System32%\dirvers\2dfgbu9.sys
        %System32%\dirvers\acpidisk.sys
        %System32%\dirvers\mjaife1jj.sys
        %Documents and Settings%\当前用户名\LOCALS~1
        \Temp\install.exe
    (4)恢复病毒修改的注册表项目,删除病毒添加的注册表项。

附:
 


点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]