卡巴斯基技术论坛 » 入侵防护交流 » Trojan-Downloader.Win32.Cntr.ioq分析

西布伦 发表于 2008-8-2 13:00

Trojan-Downloader.Win32.Cntr.ioq分析

<P>Trojan-Downloader.Win32.Cntr.ioq分析 </P>
<P>--------------------------------------------------------------------------------<BR>病毒标签： <BR>&nbsp;病毒名称： Trojan-Downloader.Win32.Cntr.ioq <BR>病毒类型： 蠕虫类 <BR>文件 MD5： F8820809EBCAB9AC87CA039A0D974F59 <BR>公开范围： 完全公开 <BR>危害等级： 4 <BR>文件长度： 7,680 字节 <BR>感染系统： Windows98以上版本 <BR>开发工具： Microsoft Visual C++ 7.0 <BR>&nbsp; <BR>病毒描述： <BR>&nbsp;　　该病毒为儒虫类病毒，病毒运行之后创建互斥量“gagagaradio”，防止病毒多次 <BR>运行，调用HttpOpenRequestA隐藏打开一个超级连接、连接到一个网站，创建一个 <BR>svcp.csv文件到%System32%目录下，调用API函数InternetReadFile读取网络信息， <BR>将信息保存到svcp.csv文件中，调用InternetQueryDataAvailable函数，在 <BR>%System32%目录下创建一个back.exe利用远程调用代码技术获取网络信息将病毒数据 <BR>分段写入该文件中，访问网络判断病毒数据大小是否满足条件如满足则调用下载后的病 <BR>毒文件运行，并将svcp.csv文件删除，修改及删除注册表，下载后的back.exe行为分 <BR>析：调用back.exe调用函数，释放驱动文件“glok+3c51-3a43.sys、 <BR>glok+serv.config”（其中glok为固定不变的其它为随机数字或字母），到%Windir% <BR>目录下，EnumServicesStatus 枚举系统服务，判断现有服务是否存在病毒服务，如存 <BR>在则不创建病毒服务，否则创建病毒病毒服务，在本地按顺序隐藏打开病毒预定好的大 <BR>量地址。 <BR>&nbsp; <BR>行为分析： <BR>&nbsp;本地行为： </P>
<P>1、文件运行后会释放以下文件： </P>
<P>　　　　%system32%\back.exe 　　　　　　　　92,672 字节 <BR>　　　　%system32%\svcp.csv 　　　　　　　　64 字节 <BR>　　　　%system32%\glok+3c51-3a43.sys 　　 128,640 字节（随机文件名） <BR>　　　　%system32%\glok+serv.config 　　　 47,901 字节（随机文件名） <BR>　　　　%system32%\winsub.xml 　　　　　　　4 字节 </P>
<P>2、修改注册表项： </P>
<P>　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 <BR>　　　　\Services\W32Time\Parameters\NtpServer <BR>　　　　新: 字符串: "time.windows.com,time.nist.gov" <BR>　　　　旧: 字符串: "time.windows.com,0x1" </P>
<P>　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　　　　\Services\W32Time\Parameters\NtpServer <BR>　　　　新: 字符串: "time.windows.com,time.nist.gov" <BR>　　　　旧: 字符串: "time.windows.com,0x1" </P>
<P>　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows <BR>　　　　\ShellNoRoam\Bags\6\Shell\ShowCmd <BR>　　　　新: DWORD: 1 (0x1) <BR>　　　　旧: DWORD: 3 (0x3) </P>
<P>　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows <BR>　　　　\ShellNoRoam\Bags\6\Shell\WFlags <BR>　　　　新: DWORD: 0 (0) <BR>　　　　旧: DWORD: 2 (0x2) </P>
<P>3、删除注册表项： </P>
<P>　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　　　　\Enum\Root\LEGACY_GPC\0000\Capabilities <BR>　　　　值: DWORD: 0 (0) </P>
<P>　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　　　　\Enum\Root\LEGACY_GPC\0000\Class <BR>　　　　值: 字符串: "LegacyDriver" </P>
<P>　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　　　　\Enum\Root\LEGACY_GPC\0000\ClassGUID <BR>　　　　值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}" </P>
<P>　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　　　　\Enum\Root\LEGACY_GPC\0000\ConfigFlags <BR>　　　　值: DWORD: 0 (0) </P>
<P>　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　　　　\Enum\Root\LEGACY_GPC\0000\Control\ActiveService <BR>　　　　值: 字符串: "Gpc" </P>
<P>　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　　　　\Enum\Root\LEGACY_GPC\0000\DeviceDesc <BR>　　　　值: 字符串: "Generic Packet Classifier" </P>
<P>　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　　　　\Enum\Root\LEGACY_GPC\0000\Legacy <BR>　　　　值: DWORD: 1 (0x1) <BR>　　　 <BR>4、病毒运行之后创建互斥量“gagagaradio”，防止病毒多次运行，调用 <BR>　 HttpOpenRequestA隐藏打开一个超级连接、连接到一个网站，创建一个svcp.csv <BR>　 文件到%System32%目录下。 </P>
<P>5、调用API函数InternetReadFile读取网络信息，将信息保存到svcp.csv文件中， <BR>　 调用InternetQueryDataAvailable函数，在%System32%目录下创建一个back.exe <BR>　 利用远程调用代码技术获取网络信息将病毒数据分段写入该文件中，访问网络连 <BR>　 接<A href="http://213.155.3.**/aff/cntr.php?e=!!45337902_85_1_2_2&amp;x=>=98&amp;y=7621">http://213.155.3.**/aff/cntr.php?e=!!45337902_85_1_2_2&amp;x=&gt;=98&amp;y=7621</A> <BR>　 判断病毒数据大小是否满足条件如满足则关闭网络句丙，调用下载后的病毒文件运行， <BR>　 并将svcp.csv文件删除。 </P>
<P>6、下载后的back.exe行为分析：调用back.exe调用函数，释放驱动文件“glok+3c51- <BR>　 3a43.sys、glok+serv.config（其中glok为固定不变的其它为随机数字或字母）， <BR>　 到%Windir%目录下，EnumServicesStatus 枚举系统服务，判断现有服务是否存在 <BR>　 病毒服务，如存在则不创建病毒服务，否则创建病毒病毒服务，在本地按顺序隐藏 <BR>　 打开病毒预定好的大量地址。 </P>
<P>网络行为: </P>
<P>　　　　 隐藏打开大量病毒预定好的网站地址 。 <BR>　　　　　　 <BR>注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 <BR>位置。 <BR>　　 <BR>　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录 <BR>　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录 <BR>　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录 <BR>　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区 <BR>　　　　%Documents and Settings% 　　　当前用户文档根目录 <BR>　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings <BR>　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp <BR>　　　　%System32% 　　　　　　　　　　系统的 System32文件夹 <BR>　　　　 <BR>　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32 <BR>　　　　windows95/98/me中默认的安装路径是C:\Windows\System <BR>　　　　windowsXP中默认的安装路径是C:\Windows\System32　　 <BR>　　　　　　　　 <BR>&nbsp; <BR>&nbsp;　　　　 </P>
<P>-------------------------------------------------------------------------------- <BR>清除方案： <BR>&nbsp; 1 、使用安天防线2008可彻底清除此病毒(推荐)， <BR>　 　请到安天网站下载： <A href="http://www.antiy.com">www.antiy.com</A>　 <BR>2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 　 <BR>　 (1)使用ATOOL“进程管理”关闭病毒相关进程。 <BR>　 (2)恢复病毒修改的注册表项： <BR>　 　 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 <BR>　 　 \Services\W32Time\Parameters\NtpServer <BR>　 　 新: 字符串: "time.windows.com,time.nist.gov" <BR>　 　 旧: 字符串: "time.windows.com,0x1" <BR>　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　 　 \Services\W32Time\Parameters\NtpServer <BR>　 　 新: 字符串: "time.windows.com,time.nist.gov" <BR>　 　 旧: 字符串: "time.windows.com,0x1" <BR>　 　 HKEY_CURRENT_USER\Software\Microsoft\Windows <BR>　 　 \ShellNoRoam\Bags\6\Shell\ShowCmd <BR>　 　 新: DWORD: 1 (0x1) <BR>　 　 旧: DWORD: 3 (0x3) <BR>　 　 HKEY_CURRENT_USER\Software\Microsoft\Windows <BR>　 　 \ShellNoRoam\Bags\6\Shell\WFlags <BR>　 　 新: DWORD: 0 (0) <BR>　 　 旧: DWORD: 2 (0x2) <BR>　 (3)恢复病毒删除的注册表项： <BR>　 　 删除的注册表项： <BR>　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　 　 \Enum\Root\LEGACY_GPC\0000\Capabilities <BR>　 　 值: DWORD: 0 (0) <BR>　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　 　 \Enum\Root\LEGACY_GPC\0000\Class <BR>　 　 值: 字符串: "LegacyDriver" <BR>　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　 　 \Enum\Root\LEGACY_GPC\0000\ClassGUID <BR>　 　 值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}" <BR>　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　 　 \Enum\Root\LEGACY_GPC\0000\ConfigFlags <BR>　 　 值: DWORD: 0 (0) <BR>　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　 　 \Enum\Root\LEGACY_GPC\0000\Control\ActiveService <BR>　 　 值: 字符串: "Gpc" <BR>　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　 　 \Enum\Root\LEGACY_GPC\0000\DeviceDesc <BR>　 　 值: 字符串: "Generic Packet Classifier" <BR>　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet <BR>　 　 \Enum\Root\LEGACY_GPC\0000\Legacy <BR>　 　 值: DWORD: 1 (0x1) <BR>　 　 HKEY_CURRENT_USER\Software\Microsoft <BR>　　　\Windows\ShellNoRoam\MUICache <BR>　 　 删除MUICache键下的所有键值 <BR>　 (4)删除病毒毒衍生的文件： <BR>　 　 %system32%\back.exe 92,672 字节 <BR>　 　 %system32%\svcp.csv 64 字节 <BR>　 　 %system32%\glok+3c51-3a43.sys 128,640 字节（随机文件名） <BR>　 　 %system32%\glok+serv.config 47,901 字节（随机文件名） <BR>　 　 %system32%\winsub.xml 4 字节 <BR>&nbsp; <BR>附：　 　&nbsp;&nbsp; <BR>&nbsp; <BR>点击此处下载安天防线2008 </P>
<P>&nbsp;病毒上报信箱: <A href="mailto:submit@virusview.net">submit@virusview.net</A>&nbsp; <BR></P>

查看完整版本: Trojan-Downloader.Win32.Cntr.ioq分析