安全响应·Security
|
Trojan-PSW.Win32.OnLineGames.ajdc分析
出处:安天病毒分析组 时间:2008-05-28 17:10
 病毒标签: |
|
病毒名称: Trojan-PSW.Win32.OnLineGames.ajdc
病毒类型: 下载者木马
文件 MD5: 6AE29B706D63C9CD8B14622F3EFF102F
公开范围: 完全公开
危害等级: 4
文件长度: 15,756 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing |
| 病毒描述: |
|
该病毒为下载者木马类,病毒运行后衍生ctfmon.exe到%Windir%目录下,测试是否能
访问www.google.cn或www.baidu.com,如能访问则连接网络读取列表下载大量恶意文件,
并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在BKPCLIENT.EXE(贝
壳磁盘保护)进程,不存在写驱动穿以下还原系统,GUARDFIELD.EXE(360还原保护器)、
BARCLIENTVIEW.EXE(网维大师)、FRZSTATE2K.EXE(冰点还原精灵)、QZCLIENT.EXE
(网吧系统防护程序),将%Windir%目录下的Explorer.exe复制到%System32%目录下,
之后将Explorer.exe进程结束后加载%System32%目录下的Explorer.exe,并感染
%Windir%目录下的Explorer.exe文件,该病毒调用IsDebuggerPresent检测反调试器,如
发现反调试器则调用shutdown函数立即执行关闭计算机操作,病毒运行后创建emsf3.bat
文件并调用其删除自身。
|
| 行为分析: |
|
本地行为:
1、文件运行后会释放以下文件:
%Windir%\ctfmon.exe 5,148 字节
2、测试是否能访问www.google.cn或www.baidu.com,如能访问则连接网络读取
http://jqm.htit****.cn/1.txt列表信息下载大量恶意文件。
3、并调用ShellExecute函数打开该病毒文件,判断当前进程里是否存在
BKPCLIENT.EXE(贝壳磁盘保护)进程,不存在写驱动穿以下还原系统,
GUARDFIELD.EXE(360还原保护器)、BARCLIENTVIEW.EXE(网维大师)、
FRZSTATE2K.EXE(冰点还原精灵)、QZCLIENT.EXE(网吧系统防护程序)。
4、将%Windir%目录下的Explorer.exe复制到%System32%目录下,之后将
Explorer.exe进程结束后加载%System32%目录下的Explorer.exe,并感染
%Windir%目录下的Explorer.exe文件。
5、该病毒调用IsDebuggerPresent检测反调试器,如发现反调试器则调用shutdown
函数立即执行关闭计算机操作,病毒运行后创建emsf3.bat文件并调用其删除自身。
网络行为:
1、协议:TCP
端口:80
连接服务器名: http://jqm.htitm5kn.cn/1.txt
IP地址:61.164.145.22
描述:连接网络读取TXT列表下载病毒文件并运行,列表内容如下:
[oo]
c0=http://xxx.dfasd****.cn/cao/aa1.exe
c1=http://xxx.dfasd****.cn/cao/aa2.exe
c2=http://xxx.dfasd****.cn/cao/aa3.exe
c3=http://xxx.dfasd****.cn/cao/aa4.exe
c4=http://xxx.dfasd****.cn/cao/aa5.exe
c5=http://xxx.dfasd****.cn/cao/aa6.exe
c6=http://xxx.dfasd****.cn/cao/aa7.exe
c7=http://xxx.dfasd****.cn/cao/aa8.exe
c8=http://111.dfasd****.cn/cao/aa9.exe
c9=http://111.dfasd****.cn/cao/aa10.exe
c10=http://111.dfasd****.cn/cao/aa11.exe
c11=http://111.dfasd****.cn/cao/aa12.exe
c12=http://111.dfasd****.cn/cao/aa13.exe
c13=http://111.dfasd****.cn/cao/aa14.exe
c14=http://111.dfasd****.cn/cao/aa15.exe
c15=http://222.dfasd****.cn/cao/aa16.exe
c16=http://222.dfasd****.cn/cao/aa17.exe
c17=http://222.dfasd****.cn/cao/aa18.exe
c18=http://222.dfasd****.cn/cao/aa19.exe
c19=http://222.dfasd****.cn/cao/aa20.exe
c20=http://222.dfasd****.cn/cao/aa21.exe
c21=http://222.dfasd****.cn/cao/aa22.exe
c22=http://333.dfasd****.cn/cao/aa23.exe
c23=http://333.dfasd****.cn/cao/aa24.exe
c24=http://333.dfasd****.cn/cao/aa25.exe
c25=http://333.dfasd****.cn/cao/aa26.exe
c26=http://333.dfasd****.cn/cao/aa27.exe
c27=http://333.dfasd****.cn/cao/aa28.exe
c28=http://444.dfasd****.cn/cao/aa29.exe
c29=http://444.dfasd****.cn/cao/aa30.exe
c30=http://444.dfasd****.cn/cao/aa31.exe
c31=http://444.dfasd****.cn/cao/aa32.exe
c32=http://444.dfasd****.cn/cao/aa33.exe
c33=http://444.dfasd****.cn/cao/aa34.exe
c34=http://444.dfasd****.cn/cao/aa35.exe
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
|
|
|
| 清除方案: |
| |
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载: www.antiy.com
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL“进程管理”关闭病毒相关进程:
复制%SystemRoot%\system32\dllcache\explorer.exe,
替换到%System32%\ 与%Windir%目录下的explorer.exe。
(2)强行删除病毒文件:
%Windir%\ctfmon.exe
|
| 附: |
| |
点击此处下载安天防线2008
 病毒上报信箱: submit@virusview.net |
|
