Trojan-Clicker.Win32.Agent.av分析
出处:安天CERT 时间:2007-09-10 10:00
病毒标签: 病毒名称: Trojan-Clicker.Win32.Agent.av 中文名称: 点击虫 病毒类型: 木马类 文件 MD5: 8E95DDFC465f04EB94A225EFFF903C8A 公开范围: 完全公开 危害等级: 4 文件长度: 脱壳前28,809 字节脱壳后122,880 字节 感染系统: Win98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: FSG 2.0 -> bart/xt 病毒描述: 该病毒运行后,衍生病毒文件到系统多个目录下,添加注册表自动运行项以跟随系统引导 病毒体。病毒体修改用户主页设置,遍历磁盘所有html文件,并插入恶意语句,以达到使用户 主动连接指定网址的目的。病毒通过在所有驱动器根目录下创建自动运行文件及其副本传播自 身。 行为分析: 本地行为: 1、文件运行后会释放以下文件:
%DriveLetter%\autorun.inf
%DriveLetter%\niu.exe %System32%\Autorun.inf %System32%\crsss.exe %System32%\d.txt %System32%\test1.txt 2、新增注册表:
HKEY_CURRENT_USER\Software\Policies\Microsoft
\Internet Explorer\Control Panel\ 新键值:字串:HomePage 类型: DWORD 值: "1 (0x1" 描述:用以禁用"IE属性"=>"常规"=>"主页设置" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run 新键值:crsss 类型: REG_SZ 值:: C:\WINDOWS\System32\crsss.exe HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Policies \WindowsUpdate s" 类型::REG_DWORD 新键值:字串: "DisableWindowsUpdateAcces 值:01, 00, 00, 00 描述:关闭Windows自动更新 3、修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 新键值:字串:" DWORD: 0 (0x0)" 原键值:字串:" DWORD: 1 (0x1)" 描述:用以去掉"文件夹选项"中"显示所有文件和文件夹"项 HKEY_CURRENT_USER\Software\Microsoft \Internet Explorer\Main\Start Page 原键值:字串:" about:blank" 新键值:字串:"http://dhz.810***.org. 描述:修改用户主页 4、遍历磁盘所有html文件,插入下列恶意语句:
<IfrAmE src=http://www.810***.org width=0 height=0></IfrAmE>
5、病毒运行后,创建自删除bat文件删除自身。
网络行为:
1、主动连接下列地址:
htttp://60.191.196.**/index.txt
http://www.810***.org/index2.txt http://www.hao***.com http://www.810***.org/index.txt www.810***.org(58.221.254.**) Host: dhz.810***.org/ 注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \Documents and Settings \当前用户\Local Settings\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\Winnt\System32 windows95/98/me中默认的安装路径是C:\Windows\System windowsXP中默认的安装路径是C:\Windows\System32 --------------------------------------------------------------------------------
清除方案: 1 、使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 本文出自 51CTO.COM技术博客(1)使用安天木马防线“进程管理”关闭病毒进程: %System32%\crsss.exe (2)删除病毒文件: %DriveLetter%\autorun.inf %DriveLetter%\niu.exe %System32%\Autorun.inf %System32%\crsss.exe %System32%\d.txt %System32%\test1.txt (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项。 |
yuncx
博客统计信息
热门文章
最新评论
友情链接