【ChinaBeta.Cn 网络安全】
Trojan-Dropper.Win32.Agent.bgc分析报告
安天实验室 CERT组分析
病毒标签:
病毒名称: Trojan-Dropper.Win32.Agent.bgc
病毒类型: 木马类
文件 MD5: EE76E2E1B9B109D428306AC12413BE5F
公开范围: 完全公开
危害等级: 3
文件长度: 13,019 字节
感染系统: windows 98以上版本
加壳类型: 未知壳
二、 病毒描述:
该病毒为木马类,病毒运行后复制自身到系统目录,并重命名为D93EE4FE.EXE,衍生病毒文件,并删除自身。 修改注册表,添加服务项,以达到随机启动的目的。删除注册表ERSvc服务,修改注册表ErrorReporting项,以关闭错误报告。主动连接网络更新病毒文件下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
三、 行为分析:
1、病毒运行后,复制自身到系统目录下,衍生病毒文件,并删除自身:
%System32%\D93EE4FE.DLL
%System32%\D93EE4FE.EXE
2、注册表相关操作如下:
删除注册表ERSvc服务,以关闭错误报告:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
键值: 字串: " Description " = "服务和应用程序在非标准环境下运行时允许错误报告。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
键值: 字串: " DisplayName " = "Error Reporting Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
键值: 字串: " ImagePath " = " %SystemRoot%\System32\svchost.exe -k netsvcs. "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
键值: 字串: " ObjectName " = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters
键值: 字串: " ServiceDll " =" %SystemRoot%\System32\ersvc.dll. "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Security\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Start
键值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Type
键值: DWORD: 32 (0x20)
修改注册表值,以关闭ErrorReporting项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DoReport
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ShowUI
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
3、将D93EE4FE.DLL插入到除进程System 与进程System Idle Process两个进程之外的其它进程中。
4、创建服务,并以服务的方式达到随机启动的目的:
服务名称: D93EE4FE
显示名称:D93EE4FE
描述:D93EE4FE
可执行文件的路径:C:\WINDOWS\system32\D93EE4FE.EXE -d
启动方式:自动
5、主动连接网络,下载相关病毒文件信息:
协议:TCP
地址:web.ip568.cn(60.172.210.2)
端口:80
进程:以插入D93EE4FE.DLL的EXPLORER.EXES 进程
下载文件: 更新文件update.txt、网页文件count.asp
6、该病毒通过恶意网站、其它病毒/木马下载传播,可以盗取用户敏感信息。
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com 。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
XXX,XXX
(2) 强行删除病毒文件
%System32%\D93EE4FE.DLL
%System32%\D93EE4FE.EXE
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
键值: 字串: " Description " = "服务和应用程序在非标准环境下运行时允许错误报告。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
键值: 字串: " DisplayName " = "Error Reporting Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
键值: 字串: " ImagePath " = " %SystemRoot%\System32\svchost.exe -k netsvcs. "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc
键值: 字串: " ObjectName " = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Parameters
键值: 字串: " ServiceDll " =" %SystemRoot%\System32\ersvc.dll. "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Security\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Start
键值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\Type
键值: DWORD: 32 (0x20)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DoReport
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ShowUI
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
(4)禁用D93EE4FE服务
(责任编辑:hahack)
注:本站所有资料均为个人爱好与广大网友分享!如用于非法!造成一切后果自负·与本站无关! |
[警戒公告]php My Admin工具中sort_by参数远… (09-22)