病毒名称:Trojan-Downloader.Win32.small.ext,Trojan.BAT.KillAV.ec 病毒大小:83968 bytes 加壳方式:NsPack 样本MD5:5fb6ee2a1044c0e3c601fde18cf8180f 样本SHA1: c3597026c8003e49383794bcf43bb78ee04ac996
行为分析:
病毒运行后,首先创建C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP文件夹 复制自身到创建的文件夹并运行,调用命令行: [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce] "wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32,C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP" 释放: C:\Documents and Settings\当前用户名\Local Settings\Temp\b-PEavp.exe 注:实质上就是把BAT文件变成EXE文件,内容: Set date=%date% date 2004-10-09 @Echo Off & setloc l enableextensions Ec o Ws cript.Sleep 1000 > Set /a i = 5 :Timeout If %i% == 0 Goto Next setlo al Set /a i = %i% - 1 cs cript //nologo fyzero.vbs Goto Timeout Goto End :Next dcte %date 把时间改成2004-10-09对付卡巴 创建批处理删除自身
释放C:\Documents and Settings\当前用户名\Local Settings\Temp\b-mie.exe并运行,复制自身到: C:\WINDOWS\winllogon.exe
创建服务: [HKLM\System\CurrentControlSet\Services\IE_WinServerName] 显示名:IE_WinServerName 描述:Windows CreaterIE 可执行文件的路径:C:\WINDOWS\winllogon.exe
创建批处理C:\WINDOWS\Deleteme.bat删除自身。 Deleteme.bat内容: :try del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\b-mie.exe" if exist "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\b-mie.exe" goto try del %0
调用IE,连接网络下载其它病毒: 先连接hxxp://www.ysjjj.com/yz/2007R2.txt读取里面的内容,根据txt文件里的地址下载新的病毒。 2007R2.txt内容: 100|http://www.cntvz.com/Users/Editer/image/88.exe|1|www.yyybt.com/g/index.html|1|300|www.mmaab.com/ad/index.html|1|300|www.y
yybt.com/soft/2541.htm|1|300|www.en3721.com/shu/soft/8085.htm|0|300|www.***.com|0|300|www.***.com|0|300|www.***.com|0|300|www
.***.com|0|300|www.***.com|0|300|www.***.com|0|300|www.***.com 还会判断是否为Tencent_Traveler的主窗口,记录在CompareText.txt(未证实)
下载88.exe,命名为Dz并运行,是盗号的,行为如下: 复制自身到: C:\WINDOWS\Dz.exe C:\Program Files\Internet Explorer\InfoMs.sys 释放: C:\Program Files\Internet Explorer\InfoMs.tdm(监控消息队列的消息) C:\Program Files\Internet Explorer\InfoMs.tp3
创建ShellExecuteHooks:
[HKEY_CLASSES_ROOT\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32] @="C:\Program Files\Internet Explorer\InfoMs.tdm"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] {DD7D4640-4464-48C0-82FD-21338366D2D2}"=" "
创建批处理_Ms.bat删除自身
手动清除方法: 1,断网 2,删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除): C:\WINDOWS\winllogon.exe C:\WINDOWS\Deleteme.bat 删除文件夹(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除): C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP 3,删除注册表(开始菜单-运行-输入“regedit”): [HKLM\System\CurrentControlSet\Services\IE_WinServerName]
[HKEY_CLASSES_ROOT\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32] @="C:\Program Files\Internet Explorer\InfoMs.tdm"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{DD7D4640-4464-48C0-82FD-21338366D2D2}"= 4,重启 5,删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):C:\WINDOWS\Dz.exe C:\Program Files\Internet Explorer\InfoMs.sys C:\Program Files\Internet Explorer\InfoMs.tdm C:\Program Files\Internet Explorer\InfoMs.tp3 6,清空IE临时文件夹和系统临时文件夹 7,修改回系统正常时间
附病毒内留下的信息: "heihei" "Huai_Huai"
|