恶意木马下载器查杀实验.pptVIP

一、实训目的 二、实训知识准备 三、实训要求 四、实训环境 通过对auto.exe病毒的分析、观察、查杀，了解此类病毒的特点。并掌握利用工具检查系统的方法，了解几种工具常用功能的基本使用。 1.病毒名称 BackDoor.Win32.Agent.ahj 2.病毒别名 警惕恶意木马下载器，auto.exe 3.病毒文件信息 MD5：00b5f82cf97f6eb0b1f5972b3d1ebfa2 SHA1：ad26b6ff0716c61e8f06cc0478c253e285e3f581 壳信息：nSPack 2.1 - 2.5 - North Star/Liu Xing Ping 4.影响系统 Win 9X/ME/NT/2000/XP/2003 5.病毒类型 木马病毒 6.病毒大小 Auto.exe 18,240 Byte 7.传播方式 U盘传播 8.病毒特征 该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。 病毒体访问某动态更新的病毒地址页面，从而获得病毒的更新下载地址。下载的病毒体多为网络游戏盗号程序。 9.病毒行为 病毒运行后?检测是否装有卡巴斯基软件，如果装有卡巴斯基软件?则将系统日期修改为2005年1月18日。 在系统文件夹下创建一个随机8位数字和字母组合而成的exe并且注册成随机8位数字和字母组合而成的服务，同时释放一个随机8位数的dll。 控制winlogon把那个随机8位数的dll?插入几乎所有进程。 遍历所有分区?在根目录下生成auto.exe和autorun.inf。 连接指定IP地址下载木马。 首先读取/cnzz/update.txt?的下载配置文件。 然后根据里面的内容下载木马kxxxxxxxxxx.exe到系统文件夹。 并下载/cnzz/soft/cnzz.exe更新自身。 木马植入成功后增加的文件如下： C:\Program?Files\Internet?Explorer\Connection?Wizard\ 下会生成icwres.ocx ，isignup.dll isignup.sys C:\WINDOWS\system32\ 下会生成107E7AF5.DLL（随机文件名） ，AC254E44.EXE（随机文件名）， AVPSrv.dll ，B96A05C.EXE（随机文件名） ，bcawvt.dll ，chzzyi.dll ，dllhost32.exe ，eykesr.dll ，F7F735F8.DLL（随机文件名） ，gafjib.dll ，humnyb.dll ，install.exe ，kxxxxxxxxxxx.exe（随机文件名） ，k118335740863qso.dll ，mppds.dll ，msdebug.dll , Msf3sf.sys , nwizdh.exe , qqcnpk.dll , Shell.exe , Shell.pci , skblsj.dll , TIMHost.dll , unlmon.dll , upxdnd.dll , uzgeey.dll C:\WINDOWS\ 下会生成AVPSrv.exe ，fqpatv.exe ，mppds.exe ，TIMHost.exe , upxdnd.exe 其中C:\WINDOWS\system32\Shell.exe为感染下载者?感染除系统分区外的所有exe?并且在每个分区根目录 学员在虚拟机中激活病毒BackDoor.Win32.Agent.ahj（auto.exe），并按步骤对系统进行观察，分析病毒行为，最后对病毒进行查杀。过程中熟悉相关工具的使用，对步骤进行相应记录，有问题及时提出。注意主机安全。 1. pc一台，安装有Vmware5.5以上版本；虚拟机中最好安装有 WinXP版本。 2. 将虚拟机从网络中断开。 3. 病毒文件——Auto.exe。 4. 第三方工具——IceSword, Process Explorer。 * Any question？ * * * * * * * *