Worm.Win32.Agent.t分析
出处:安天CERT
病毒名称: Worm.Win32.Agent.t
病毒类型: 蠕虫类
文件 MD5: C4BFC29229607CBEA877CBC40EB5D098
公开范围: 完全公开
危害等级: 4
文件长度: 脱壳前52,736 字节,脱壳后145,920 字节
感染系统: Win98以上版本
开发工具: Borland C++ 1999
加壳类型: PECompact 2.x -> Jeremy Collake
命名对照: 趋势[TROJ_DELF.JIP]SOPHOS[Mal/Behav-097]
NOD32[a variant of Win32/Agent.NAU worm]IKARUS[Worm.Win32.Agent.t]
AVG[Agent.FTJ]AVAST[Win32:Delf-DTM [Wrm]]
病毒描述:
该病毒运行后,衍生病毒副本到系统多个目录下,添加注册表多处.自启动项以跟随系统引导病毒体。连接网络获取病毒更新地址以下载病毒体到本机运行。下载的病毒程序包含后门程序、蠕虫程序、木马程序等。修改注册表相关键值,以隐藏病毒体,搜索除C以外的d-z个逻辑驱动器,在其根目录下衍生自动运行文件及病毒副本,当用户双击盘符时,即激活病毒体。病毒衍生.的程序会下载其它病毒,从而造成连锁反应,严重情况下,可造成用户down机。
字串5
行为分析:
本地行为:
字串3
1、病毒件运行后.会衍生以下文件: 字串2
%WinDir%112.exe
%WinDir%121.exe
%WinDir%123.exe
%WinDir%444.exe
%WinDir%817.exe
%WinDir%concmd.dll
%WinDir%
etcom.dll
%System32%449.exe
%WinDir%Temp~myC.tmp
%System32%dirvers2dfgbu9.sys
%System32%dirversacpidisk.sys
%System32%dirversmjaife1jj.sys
%Documents and Settings%当前用户名LOCALS~1Tempinstall.exe 字串6
2、新增注册表: 字串2
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindows_0]
注册表值: " Description "
字符串:" Network Connections Management "
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindows_0]
注册表值: " DisplayName "
字符串:"Windows Accounts Driver"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindows_0]
注册表值: "ImagePath "
字符串:" C:WINDOWSSystem32449.exe "
字串6
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmjaife1jj]
注册.表值: " DisplayName "
字符串:"mjaife1jj"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindows_0]
注册表值: "ImagePath "
字符串:" C:WINDOWSSystem32driversmjaife1jj.sys"
字串8
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindows_0]
注册表值: " DisplayName "
字符串:"acpidisk"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindows_0]
注册表值: "ImagePath "
字符串:" C:WINDOWSSystem32driversacpidisk.sys "
字串6
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindows_0]
注册表值: "2dfgbu9System Bus Extender"
字符串:"acpidisk"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswindows_0]
注册表.值: "ImagePath "
字符串: " C:WINDOWSSystem32drivers2dfgbu9.sys" 字串9
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
注册表值: " MSetup "
字符串: " C:DOCUME~1当前用户名LOCALS~1Tempinstall.exe " 字串1
3、修改注册表
字串6
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit]
新建键值:字串:" C:WINDOWSsystem32userinit.exe,c:WINDOWS病毒副本名.exe "
原键值:字串:""C:WINDOWSsystem32userinit.exe" 字串2
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue]
新建键值:字串:" 0"
原.键值:字串:""1"
类型:DWORD 字串3
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCache]
新建键.值:字串:"C:Documents and Settings
当前用户名Local SettingsTemporary Internet Files"
原键值:字串:"C:WINDOWSsystem32configsystemprofile
Local SettingsTemporary Internet Files " 字串7
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCache]
新建键值:字串:"C:Documents and Settings当前用户名Cookies"
原键值:字串:"C:WINDOWSsystem32configsystemprofileCookies" 字串2
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersHistory]
新建键值:字串:"C:Documents and Settings当前用户名Local SettingsHistory"
原.键值:字串:"C:WINDOWSsystem32configsystemprofileLocal SettingsHistory " 字串3
4、删除注.册表键值 字串4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
注册表值:" MSConfig "
类型:Stirng
字符串:" C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto "
字串4
网络行为:
字串1
1、连接目标主机:
协议:TCP
域名或IP地址:
218.61.15.**端口:7000
218.61.19.***端口:7000
61.176.194.***端口:7000
61.176.204.***端口:7000
61.176.22.2.***端口:7000
2、连接.地址cha.onniro.cn(221.8.74.***)/text/****.txt病毒下载地址继而下载病毒体:
协议:TCP
端口:80
hxxp://www.qqxi***ng.cn/svchost.exe
hxxp://www.51**t.com/haohao.exe
hxxp://huimie.xi**.net/qqqyyy.exe
hxxp://www.jzm***.com(61.176.195.***)/m/xy.exe
hxxp://www.48**.com(221.8.74.***)/rar/my_70136.rar
hxxp://qqqyyy2.33**.org(218.61.18.**)/Server.exe
字串5
hxxp://www.ad99**.com(218.61.18.**)/qqqyyy.exe
hxxp://www.48**.com(221.8.74.***)/rar/socvher.rar
hxxp://www.4***.com/rar/my_70136.rar
hxxp://www.tud***.net(222.169.224.**)/ad/bd2.rar
hxxp://www.tud***.net(222.169.224.**)/ad/bd4.rar
hxxp://www.tud***.net(222.169.224.**)/ad/bd6.rar
hxxp://www.tud***.net(222.169.224.**)/ad/bd8.rar 字串9
注:%Windir% WINDODWS所在目录
%DriveLetter%逻辑驱动器根目录
%ProgramFiles%系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% Documents and Settings
当前用户Local SettingsTemp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:WinntSystem32
windows95/98/me中默认的安装路径是C:WindowsSystem
windowsXP中默认的安装路径是C:WindowsSystem32
清除方案:
1 、使用安天木马防线可.彻底清除此病毒 ( 推荐 )
字串2
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用安天木马防线“进程管理”关闭病毒进程:
112.exe
121.exe
123.exe
444.exe
817.exe
449.exe
(2)恢复病毒修改的注册.表项目,删除病毒添加的注册表项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue]
新建键值:字串:" 0"
原键值:字串:""1"
类型:DWORD
(3)删除病毒文件:
%WinDir%112.exe
%WinDir%121.exe
%WinDir%123.exe
%WinDir%444.exe
%WinDir%817.exe
%WinDir%concmd.dll
%WinDir%
etcom.dll
字串5
%System32%449.exe
%WinDir%Temp~myC.tmp
%System32%dirvers2dfgbu9.sys
%System32%dirversacpidisk.sys
%System32%dirversmjaife1jj.sys
%Documents and Settings%当前用户名LOCALS~1
Tempinstall.exe
(4)恢复病毒修改的注册.表项目,删除病毒添加的注册表项。