安天实验室 CERT组分析

　　病毒标签：

　　病毒名称： Trojan-Downloader.Win32.Agent.bkt

　　病毒类型： 木马类

　　文件 MD5： d1ffd1d9c414b9f2123d5016a2c9f290

　　公开范围： 完全公开

　　危害等级： 3

　　文件长度： 17,824 字节

　　感染系统： windows 98以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： nSPack 2.1 - 2.5

　　命名对照： BitDefender [GenPack:Generic.Malware.Bdldg.D0A4A308]

　　二、 病毒描述：

　　该病毒为木马类，病毒运行后，复制自身到%System32%目录下，衍生病毒文件，并删除自身。

　　删除错误报告注册表项。 创建一个服务项，以达到随机启动的目的。病毒运行时,将自身的92219FBE.DLL文件插入到能够插入的进程中，达到隐藏自身，收集各种敏感信息的目的。连接网络下载相关病毒文件；该病毒是木马远程下载器生成的目标文件和配置工具，在下载的文件中有盗取用户敏感信息的木马；并尝试关闭卡巴斯基反病毒软件。

　　三、 行为分析：

　　1、病毒运行后，复制自身到 %System32%目录下，衍生病毒文件，并删除自身：

　　%System32%\92219FBE.DLL

　　%System32%\92219FBE.EXE

　　%System32%\92219FBET.EXE

　　2、修改多处注册表，删除错误报告注册表项:

　　删除错误报告注册表项，部分已删除项如下：

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值: 字串: "Description"="服务和应用程序在非标准环境下运行时允许错误报告。"

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值: 字串: " DisplayName " = "Error Reporting Service"

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值: 字串: " ImagePath " = "%SystemRoot%\System32\svchost.exe -k netsvcs."

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters

　　键值: 字串: " ServiceDll" = "%SystemRoot%\System32\ersvc.dll."

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc

　　键值: 字串: "Description"="服务和应用程序在非标准环境下运行时允许错误报告。"

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc

　　键值: 字串: "DisplayName " = "Error Reporting Service"

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc

　　键值: 字串: " ImagePath " = "%SystemRoot%\System32\svchost.exe -k netsvcs."

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\Parameters

　　键值: 字串: " ServiceDll " = "%SystemRoot%\System32\ersvc.dll."

　　3、创建一个服务项，以达到随机启动的目的：

　　服务名称： 92219FBE

　　显示名称： 92219FBE

　　描述： 92219FBE

　　可执行文件的路径： C:\WINDOWS\system32\92219FBE.EXE

　　启动类型： 自动

　　4、该病毒运行时,将自身的92219FBE.DLL文件插入到能够插入的进程中，例如：svchost.exe　、winlogon.exe　、　 explorer.exe　等进程中；达到隐藏自身，收集各种敏感信息的目的，例如：记录键盘信息。

　　5、连接网络下载相关病毒文件。该病毒是木马远程下载器生成的目标文件和配置工具，在下载的文件中有盗取用户敏感信息的木马。

　　6、尝试关闭卡巴斯基反病毒软件。

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量；路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp

　　%System32% 是一个可变路径；

　　病毒通过查询操作系统来决定当前System32文件夹的位置；

　　Windows2000/NT中默认的安装路径是　C:\Winnt\System32；

　　Windows95/98/Me中默认的安装路径是　C:\Windows\System；

　　WindowsXP中默认的安装路径是　C:\Windows\System32。

　　四、 清除方案：

　　1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。

　　(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

　　(2) 删除病毒文件

　　%System32%\92219FBE.DLL

　　%System32%\92219FBE.EXE

　　%System32%\92219FBET.EXE

　　(3) 关闭服务名称为92219FBE的服务，将其启动类型改为禁用。

　　(4)恢复注册表项:

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值: 字串: "Description"="服务和应用程序在非标准环境下运行时允许错误报告。"

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值: 字串: " DisplayName " = "Error Reporting Service"

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc

　　键值: 字串: " ImagePath " = "%SystemRoot%\System32\svchost.exe -k netsvcs."

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters

　　键值: 字串: " ServiceDll" = "%SystemRoot%\System32\ersvc.dll."

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc

　　键值: 字串: "Description"="服务和应用程序在非标准环境下运行时允许错误报告。"

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc

　　键值: 字串: "DisplayName " = "Error Reporting Service"

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc

　　键值: 字串: " ImagePath " = "%SystemRoot%\System32\svchost.exe -k netsvcs."

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\Parameters

　　键值: 字串: " ServiceDll " = "%SystemRoot%\System32\ersvc.dll."

（责任编辑：hahack）