安全响应·Security
病毒分析报告·Report

Trojan-Dropper.Win32.Small.bgn分析

出处:安天病毒分析组 时间:2008-03-07 15:50

病毒标签:

病毒名称: Trojan-Dropper.Win32.Small.bgn
病毒类型: 木马类
文件 MD5: 021B6BF56AF989AE76280F95EB302EB2
公开范围: 完全公开
危害等级: 5
文件长度: 34,816 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
病毒描述:

  该病毒属木马类。病毒运行后,复制自身到%System32%目录下,更名为
sechost.exe,并在该目录下衍生cifmon.exe、discard.ini、kavshell.sys、
ssdt.sys、sychost.exe;修改注册表,使sechost.exe伴随userinit.exe
启动以及将病毒文件加入到CMD.EXE的调用扩展中;将“%System32%\smss.exe”
添加到卡巴斯基反病毒软件的信任区域;为卡巴斯基添加规则为"%System32%
\sechost.exe"开放最大权限;创建两处服务;调用ychost.exe,绕过金山反病
毒软件的主动防御;连接网络向外发送本地机器的相关信息、下载病毒的最新版本
到IE临时目录并执行;由于程序自身问题,病毒运行后将不停弹出标题头为
123yf6.exe,内容为%System32%\smss.exe文件无法找到的对话框;病毒运行完
毕后删除自身。
行为分析:

本地行为:

1、文件运行后会释放以下文件:

    %System32%\sechost.exe     34,816 字节
    %System32%\cifmon.exe      20,480 字节
    %System32%\discard.ini     26 字节
    %System32%\kavshell.sys     2,560 字节
    %System32%\ssdt.sys       2,304 字节
    %System32%\sychost.exe     20,480 字节
  
2、新增注册表:

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\kavshell]
    注册表值: "DisplayName"
    类型: REG_SZ
    值: "kavshell"
    描述:服务名称
    
    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\kavshell]
    注册表值: "ImagePath"
    类型: REG_SZ
    值: "C:\WINDOWS\system32\kavshell.sys"
    描述:服务的映像路径

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\kavshell]
    注册表值: "Start"
    类型: DWORD
    值: "3"
    描述:服务的启动方式,3为“手动”
    
    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\RESSDT]
    注册表值: "DisplayName"
    类型: REG_SZ
    值: "RESSDT"
    描述:服务名称

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\RESSDT]
    注册表值: "ImagePath"
    类型: REG_SZ
    值: "C:\WINDOWS\system32\ssdt.sys"
    描述:服务的映像路径

    [HKEY_LOCAL_MACHINE\SYSTEM
    \ControlSet001\Services\kavshell]
    注册表值: "Start"
    类型: DWORD
    值: "3"
    描述:服务的启动方式,3为“手动”
    [HKEY_LOCAL_MACHINE\SOFTWARE
    \KasperskyLab\protected\AVP7\profiles
    \AVService\settings\Excludes\0000\Object]
    注册表值: "Mask"
    类型: REG_SZ
    值: "C:\WINDOWS\system32\smss.exe"
    描述:添加指定文件到卡巴斯基反病毒软件的信任区域

    [HKEY_LOCAL_MACHINE\SOFTWARE
    \KasperskyLab\protected\AVP7\profiles
    \ProcMon\settings\aItems\0000]
    注册表值: "sImagePath"
    类型: REG_SZ
    值: "C:\WINDOWS\system32\sechost.exe"
    描述:将指定文件作为一个规则添加到卡巴斯基
    反病毒软件的规则体系中

3、修改注册表:

    [HKEY_LOCAL_MACHINE\SOFTWARE
    \Microsoft\Command Processor]
    新建键值:字串:"AutoRun"="C:\WINDOWS\system32\sechost.exe"
    原键值:字串:" AutoRun"=""
    描述: 使sechost.exe伴随userinit.exe启动
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows NT\CurrentVersion\Winlogon]
    新建键值:字串:"Userinit"="C:\WINDOWS\system32
    \userinit.exe,C:\WINDOWS\system32\sechost.exe"
    原键值:字串:" Userinit"="C:\WINDOWS\system32\userinit.exe,"
    描述: 将病毒文件加入CMD.EXE的调用扩展,使拥护在没有“/D”
    参数的情况下调用CMD.EXE时,使病毒文件优先于CMD.EXE运行。

网络行为:

1、连接网络发送本地计算机的相关硬件信息:
    
    连接网络:
    WWW.80****.cn(222.189.239.***)

    发送信息包括:
    MAC地址、操作系统、IE浏览器版本等信息

2、 下载病毒文件:
    
    连接网络:
    WWW.80****.cn(222.189.239.***)
    下载病毒文件并自动运行:
    new.rar 2,180 字节
    1111.exe 34,816 字节
    运行后衍生如下文件:
    %System%\sufost.ini 2,180 字节
    Trojan-Dropper.Win32.Small.bgn
    %System%\123yf6.exe 34,816 字节
    Trojan-Dropper.Win32.Small.bgn

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32                
    
清除方案:
 

1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载:www.antiy.com 。 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
    (1)使用安天防线工具的“进程管理”和“服务管理”功能
      关闭病毒进程和服务。
    (2)删除病毒文件:
     %System32%\sechost.exe
     %System32%\cifmon.exe
     %System32%\discard.ini
     %System32%\kavshell.sys
     %System32%\ssdt.sys
     %System32%\sychost.exe
    (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项:
     1、删除注册表项
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\kavshell]
     注册表值: "DisplayName"
     类型: REG_SZ
     值: "kavshell"
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\kavshell]
     注册表值: "ImagePath"
     类型: REG_SZ
     值: "C:\WINDOWS\system32\kavshell.sys"
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\kavshell]
     注册表值: "Start"
     类型: DWORD
     值: "3"
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\RESSDT]
     注册表值: "DisplayName"
     类型: REG_SZ
     值: "RESSDT"
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\RESSDT]
     注册表值: "ImagePath"
     类型: REG_SZ
     值: "C:\WINDOWS\system32\ssdt.sys"
     [HKEY_LOCAL_MACHINE\SYSTEM
     \ControlSet001\Services\kavshell]
     注册表值: "Start"
     类型: DWORD
     值: "3"
     [HKEY_LOCAL_MACHINE\SOFTWARE
     \KasperskyLab\protected\AVP7\profiles
     \AVService\settings\Excludes\0000\Object]
     注册表值: "Mask"
     类型: REG_SZ
     值: "C:\WINDOWS\system32\smss.exe"
     [HKEY_LOCAL_MACHINE\SOFTWARE
     \KasperskyLab\protected\AVP7\profiles
     \ProcMon\settings\aItems\0000]
     注册表值: "sImagePath"
     类型: REG_SZ
     值: "C:\WINDOWS\system32\sechost.exe"
     2、恢复注册表项
     [HKEY_LOCAL_MACHINE\SOFTWARE
     \Microsoft\Command Processor]
     新建键值:字串:"AutoRun"="C:\WINDOWS
     \system32\sechost.exe"
     原键值:字串:" AutoRun"=""
     描述: 使sechost.exe伴随userinit.exe启动
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
     \Windows NT\CurrentVersion\Winlogon]
     新建键值:字串:"Userinit"="C:\WINDOWS
     \system32\userinit.exe,
     C:\WINDOWS\system32\sechost.exe"
     原键值:字串:" Userinit"="C:\WINDOWS
     \system32\userinit.exe," 
附:
 


点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net
[TOP]