一、病毒标签:
病毒名称: Trojan.Win32.Obfuscated.fd
病毒类型: 木+马类
文件 MD5: B88B04861BB351A6E13F7F839C12DF1C
公开范围: 完全公开
危害等级: 3
文件长度: 424,656 字节
感染系统: windows 98以上版本
加壳类型: WinUpack 0.39 final
二、病毒描述:
该病毒为木+马类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。 创建服务,并以服务的方式达到随机启动的目的。设置远程线程来执行2b79.dll、4e92.dll,在执行时插入到EXPLORER.EXE进程和其它相关进程中。主动连接网络,下载相关病毒文件信息。
三、行为分析:
1、病毒运行后释放文件:
%Temp%\bofang.dll
%Temp%\GTIAPI.dll
%Temp%\hbcmd.dll
%Temp%\lfrmewrk.exe
%Temp%\RGInstall.dll
%Windir% \2b79e.jpg
%Windir% 4e92b.dat
%Windir% \92b79.avi
%Windir% \e92b7.cfg
%System32%\-397510056
%System32%\2b79.dll
%System32%\4e92.dll
%System32%\92b7.exe
%System32%\e92b.dll
2、修改注册表,以达到e92b.dll随Browser启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{66C2C482-D4EE-42A5-AEF7-0B124F278D47}\InprocServer32
键值: 字串: " 默认 " = "%System32%\e92b.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{66C2C482-D4EE-42A5-AEF7-0B124F278D47}\InprocServer32
键值: 字串: " ThreadingModel " = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{66C2C482-D4EE-42A5-AEF7-0B124F278D47}\
3、查找EXPLORER.EXE和其它相关进程信息;设置远程线程来执行2b79.dll、4e92.dll,在执行时将2b79.dll、4e92.dll插入到EXPLORER.EXE进程和其它相关进程中。
4、创建服务,并以服务的方式达到随机启动的目的:
服务名称:EmonSrv
显示名称:error monitor
描述: 空
可执行文件的路径:%System32%\92b7.exe
启动方式:自动
5、主动连接网络,下载相关病毒文件信息:
地址:端口
343.boolans.com(60.217.234.138):80
777.boolans.com(219.148.38.241):80
221.238.193.106:81
下载文件如下:
s1012.exe
ut_HL.y
bl.y
blog.updata
注释:
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量;路径为:
%Documents and Settings%\当前用户\Local Settings\Temp
%System32% 是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:\Winnt\System32;
Windows95/98/Me中默认的安装路径是 C:\Windows\System;
WindowsXP中默认的安装路径是 C:\Windows\System32。
四、 清除方案:
1、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址:
www.antiy.com或
http://www.antiy.com/download/index.htm 。
(1) 使用安天木+马防线或ATool中的“进程管理”关闭病毒进程
强行卸载2b79.dll、4e92.dll
(2) 强行删除病毒文件
%Temp%\bofang.dll
%Temp%\GTIAPI.dll
%Temp%\hbcmd.dll
%Temp%\lfrmewrk.exe
%Temp%\RGInstall.dll
%Windir% \2b79e.jpg
%Windir% 4e92b.dat
%Windir% \92b79.avi
%Windir% \e92b7.cfg
%System32%\-397510056
%System32%\2b79.dll
%System32%\4e92.dll
%System32%\92b7.exe
%System32%\e92b.dll
s1012.exe
ut_HL.y
bl.y
blog.updata
(3)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{66C2C482-D4EE-42A5-AEF7-0B124F278D47}\InprocServer32
键值: 字串: " 默认 " = "%System32%\e92b.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{66C2C482-D4EE-42A5-AEF7-0B124F278D47}\InprocServer32
键值: 字串: " ThreadingModel " = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{66C2C482-D4EE-42A5-AEF7-0B124F278D47}\
(4)禁用服务92b7.exe
本篇文章来源于 黑基网-中国最大的网络安全站点 原文链接:
http://www.hackbase.com/tech/2008-05-07/40651.html
