Trojan-Downloader.Win32.agent.wh分析.docVIP

Trojan-Downloader.Win32.agent.wh分析 一、 病毒标签： 病毒名称：Trojan-Downloader.Win32.agent. 病毒类型：木马类 文件 MD5：10270FEC237B68DD386D95654E43D76F 公开范围： 完全公开 危害等级：3 文件长度：12,449 字节 感染系统： Windows98以上版本 开发工具：Microsoft Visual C++ 6.0 加壳类型：未知 命名对照： kaspersky: Backdoor.Win32.Agent.ckn(卡巴斯基最初报的是错的，不知道有没有改回来)? ?? ?? ?? ? rising: Worm.Win32.Autorun.isu? ?? ?? ?? ? duba: Win32.Hack.Agent.114688 二、 病毒描述： 该病毒为木马类。病毒运行后衍生病毒文件到%system32%下,病毒复制自身并重命名为3fd1e80c.exe，释放文件555e9a24.dll，复制自身到各驱动器根目录并命名为auto.exe，并创建自运行文件；释放文件后并自我删除，修改注册表服务项，以达到随机一起启动的目的；检测并禁用卡巴斯基、关闭360安全卫士和金山毒霸，将释放的文件555e9a24.dll钩挂到进程系统中大部分进程中运行链接网络下载更多病毒运行，并删除Windows错误报告服务。该病毒通过U盘和网络传播。 三、 行为分析： 本地行为: 1、 %system32%\3fd1e80c.exe 12,449 字节 %system32%\5559a42.dll 40,960 字节 %DriveLetter%\auto.exe 12,449 字节 %DriveLetter%\autorun.inf 78字节 2、病毒运行时检测卡巴斯基杀毒软件的存在，并利用卡巴斯基的注册码机制的时间缺陷禁用卡巴斯基；查找360安全卫士的进程并杀除，同时删除360安全卫士的启动项；病毒创建单独线程不停监视标题为“金山独霸”的窗口的存在，并关闭之。 3、通过创建远程线程的方法将自己释放的动态链接库文件钩挂在它所能够钩挂的所有进程中运行。并将自身伪装成Microsoft Corporation的文件。 4、删除和修改注册表的Windows错误报告服务项 删除 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\ 修改 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DoReport 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ShowUI 新: DWORD: 0 (0) 旧: DWORD: 1 (0x1) 5、修改注册表，注册自身可执行文件为系统服务，服务名称为AD09E3，以实现随机启动 增加 HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\AD09E3\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AD09E3\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AD09E3\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AD09E3\ 6、修改注册表, 禁用显示所有文件和文件夹? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue新: DWORD: 0 (0)旧: DWORD: 1 (0x1) 7、修改注册表，屏蔽开机时使用最后一次正确的配置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ReportBootOk值: DWORD: 1 (0x1) 网络行为 1、病毒从网络上下载并更新文件/soft/update.txt到本地并重命名。 [update] ver=2008010