微点交流论坛

标题: 病毒释放者Trojan-Dropper.Win32.Agent.aqdc [打印本页]

作者: pioneer 时间: 2010-11-8 16:56 标题: 病毒释放者Trojan-Dropper.Win32.Agent.aqdc

病毒释放者

Trojan-Dropper.Win32.Agent.aqdc

捕获时间

2010-11-08

危害等级

中

病毒症状

该样本是使用“VC++”编写的“病毒释放者”，由微点主动防御软件自动捕获,长度为“31,232”字节，图标为“

”，使用“exe”扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是释放病毒，并进一步控制用户计算机，窃取用户信息。
当用户计算机感染此木马病毒后,杀毒软件自动退出无法启动,并且发现未知进程等现象.

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现木马"Trojan-Dropper.Win32.Agent.aqdc”，请直接选择删除（如图2）。

图2 微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

手动删除文件

1．删除  %Documents and Settings%\All Users\Application Data\lanmao.exe
2．删除  %Documents and Settings%\All Users\Application Data\lanmao.xxx
3．删除  %Documents and Settings%\All Users\456.bat

手动删除注册表

1.删除  HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\666666666666666666666666666\
名称：ImagePath
数据：C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\LANMAO.EXE

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

作者: pioneer 时间: 2010-11-8 16:59
病毒分析：

1.病毒通过SetErrorMode函数，系统不显示critical-error-handler 消息对话框，只是把错误信息发到调用进程
2.病毒获得系统系统目录路径和"C:\Documents and Settings\All Users\Application Data\lanmao.exe"路径。比较病毒本身是否注入到"C:\WINDOWS\System32\svchost.exe"进程中，
3. 如果不成功，继续比较病毒本身是否注入"C:\Documents and Settings\All Users\Application Data\lanmao.exe"进程中，如果成功，先删除"C:\Documents and Settings\All Users\Application Data\lanmao.exe"文件，然后再在该目录下建立"C:\Documents and Settings\All Users\Application Data\lanmao.exe"文件。病毒创建配置文件“C:\Documents and Settings\All Users\ yirana.inf”
  并对该文件写入数据。数据内容是创建注册表信息。
  HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\666666666666666666666666666\
  名称：ImagePath
  数据：C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\LANMAO.EXE
  以服务的方式启动该进程。
  然后创建批处理文件C:\Documents and Settings\All Users\123.bat，以隐藏窗口方式的启动该进程。批处理文件的作用是“rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 C:\Documents and Settings\All Users\yirana.inf ”执行完以后，删除 “ C:\Documents and Settings\All Users\123.bat”和C:\Documents and Settings\All Users\yirana.inf ”文件。然后休眠一段时间，创建批处理文件C:\Documents and Settings\All Users\456.bat，以隐藏窗口方式的启动该进程。批处理文件的作用：删除病毒本身。
4.如果注入成功，建立线程函数，对文件"C:\Documents and Settings\All Users\Application Data\lanmao.exe"进行写入数据操作。然后休眠一段时间，并建立进程快照，遍历"360Safe.exe"进程，找到以后结束该进程。并继续对该文件"C:\Documents and Settings\All Users\Application Data\lanmao.exe"进行写入数据操作。并且将"C:\Documents and Settings\All Users\Application Data\lanmao.exe"移动到同一目录下并重新命名为"C:\Documents and Settings\All Users\Application Data\lanmao.xxx"，并对"C:\Documents and Settings\All Users\Application Data\lanmao.xxx"进行写入数据操作，再一次将"C:\Documents and Settings\All Users\Application Data\lanmao.xxx"移动到同一目录下并重新命名为"C:\Documents and Settings\All Users\Application Data\lanmao.exe"进行写入数据操作。循环进行多次写入操作。
5.病毒获得当前进程的ID号，并建立互斥体变量"MRSG64ZOOBVTGOJOMNXW2ORYGA4DM==="防止程序多次运行。
6.病毒启动网络连接，以及建立线程，通过字符串"MRSG64ZOOBVTGOJOMNXW2ORYGA4DM==="解密出网络地址。然后建立网络连接，发送数据包以及用户的操作系统版本和用户的主机名发送到黑客指定的网站上。

病毒创建文件：

%Documents and Settings%\All Users\Application Data\lanmao.exe
%Documents and Settings%\All Users\123.bat
%Documents and Settings%\All Users\456.bat
%Documents and Settings%\All Users\Application Data\lanmao.xxx
%Documents and Settings%\All Users\ yirana.inf

病毒创建注册表：

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\666666666666666666666666666\
名称：ImagePath
数据：C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\LANMAO.EXE

病毒访问网络：

ddos.*****.com:8086

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn