Trojan-Downloader.Win32.Small.zjt分析(图)
<P>Trojan-Downloader.Win32.Small.zjt分析(图) <BR>病毒标签: <BR>病毒名称: Trojan-Downloader.Win32.Small.zjt <BR>病毒类型: 木马类 <BR>文件 MD5: F8820809EBCAB9AC87CA039A0D974F59 <BR>公开范围: 完全公开 <BR>危害等级: 4 <BR>文件长度: 225,280 字节 <BR>感染系统: Windows98以上版本 <BR>开发工具: Microsoft Visual C++ 7.0 <BR>传播方式: 利用电子邮件传播 </P><P>病毒描述: <BR> 该病毒为广告件类病毒,病毒运行之后调用FindFirstUrlCacheEntryA,获取IE <BR>缓存地址信息,删除internet临时文件夹的文件,调用API函数GetKeyboardLayoutList <BR>获得系统适用的所有键盘布局的一个列表,调用CreateMutex创建一个互斥体, <BR>MutexName= "{ A56DECD8-1102-49e9-BFD5-17FBE35197F2 }"防止病毒多次运行,复制自 <BR>身并衍生病毒文件lphcrm3j0e37v.exe、phcrm3j0e37v.bmp、pphcrm3j0e37v.exe(随 <BR>机文件名)文件到%System32%目录下,并添加到注册表桌面项某些键值替换为病毒释放的 <BR>bmp文件,将现有的桌面背景替换为病毒释放的bmp文件,设置属性为不可更改,使用户无 <BR>法替换桌面背景,将病毒lphcrm3j0e37v.exe文件添加到注册表启动项,达到开机自启动 <BR>目的,获取临时%temp%目录文件夹,释放.ttE.tmp.vbs脚本文件,调用ShellExecuteW将 <BR>其运行,等待1000ms后再将其删除,获取%System32%目录在此目录下衍生 <BR>blphcrm3j0e37v.scr屏幕保护程序替换系统现用的屏幕保护程序,调用API连接网络下载 <BR>恶意程序强制安装antivirus XP 2008软件,病毒运行完毕之后创建BAT批处理文件删除 <BR>自身。该病毒通过电子邮件传播。 <BR> 邮件内容为: <BR> New photos and video of Mars. To look only here! <BR> <A href="http://dieffeg****.it/fores/l4.php">http://dieffeg****.it/fores/l4.php</A> <BR> New photos and video of Mars. To look only here! <BR> <A href="http://desi****.fr/fores/l4.php">http://desi****.fr/fores/l4.php</A> </P>
<P>行为分析: <BR>本地行为: <BR>1、文件运行后会释放以下文件: <BR> %system32%\phcrm3j0e37v.bmp (随机文件名) <BR> %system32%\lphcrm3j0e37v.exe (随机文件名) <BR> %system32%\blphcrm3j0e37v.scr (随机文件名) <BR> %system32%\pphcrm3j0e37v.exe (随机文件名) <BR>2、修改注册表项,改变桌面显示设置: <BR> HKEY_CURRENT_USER\Control Panel\Colors\Background <BR> 新: 字符串: "0 0 255" <BR> 旧: 字符串: "0 78 152" <BR> 描述:设置背景图片的尺寸 <BR> HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper <BR> 新: 字符串: "C:\WINDOWS\system32\phcrm3j0e37v.bmp" <BR> 旧: 字符串: "" <BR> HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE <BR> 新: 字符串: "C:\WINDOWS\system32\blphcrm3j0e37v.scr" <BR> 旧: 字符串: "C:\WINDOWS\System32\logon.scr" <BR> 描述:替换当前桌面屏幕保护程序为病毒指定的屏幕保护 <BR> HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper <BR> 新: 字符串: "C:\WINDOWS\system32\phcrm3j0e37v.bmp" <BR> 旧: 字符串: "C:\WINDOWS\web\wallpaper\Bliss.bmp" <BR> 描述:替换当前桌面背景为病毒指定的背景 <BR> HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle <BR> 新: 字符串: "0" <BR> 旧: 字符串: "2" <BR>3、添加注册表病毒启动项: <BR> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft <BR> \Software Notifier\InstallationID <BR> 值: 字符串: "b154ae95-06a3-470b-a06a-ce44408a3f0b" <BR> 描述:注册病毒安装ID号 <BR> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows <BR> \CurrentVersion\Run\lphcrm3j0e37v <BR> 值: 字符串: "C:\WINDOWS\system32\lphcrm3j0e37v.exe" <BR> 描述:添加病毒开机启动项 <BR>4、调用FindFirstUrlCacheEntryA,获取IE缓存地址信息,删除internet临时文件 <BR> 夹的文件,调用API函数GetKeyboardLayoutList获得系统适用的所有键盘布局的 <BR> 一个列表,调用CreateMutex创建一个互斥体,MutexName = "{ A56DECD8-1102- <BR> 49e9-BFD5-17FBE35197F2 }"防止病毒多次运行。 <BR>5、获取临时%temp%目录文件夹,释放.ttE.tmp.vbs脚本文件,调用ShellExecuteW将 <BR> 其运行,等待1000ms后再将其删除,调用API连接网络下载恶意程序强制安装 <BR> antivirus XP 2008软件。 <BR> .ttE.tmp.vbs脚本文件代码如下图: <BR> <BR>[url=http://www.heibai.net/article/pic/a2008-7-30-7345501.jpg][img]http://www.heibai.net/article/pic/a2008-7-30-7345501.jpg[/img][/url] <BR> XP Antivirus 2008是一种带欺骗性质的伪装成安全软件的恶意软件。以系统存在 <BR> 漏洞为由诱惑用户安装,然后开机就看见桌面背景被换成一张蓝色的病毒警告页面, <BR> XP Antivirus 2008正在扫描,且 扫描出一堆“病毒”,且真有蟑螂般小虫在桌面 <BR> 跑来跑去,啃噬桌面图标,引诱用户去注册软件解决这个“大麻烦”。 <BR> 被强制安装antivirus XP 2008软件后的用户桌面被强制更改,安装完毕后自动扫 <BR> 描电脑假像显示电脑有病毒然后提示用户是否删除,显示如下图: <BR> <BR>[url=http://www.heibai.net/article/pic/20080731b.jpg][img]http://www.heibai.net/article/pic/20080731b.jpg[/img][/url] </P>
<P>[table][tr][td][/td][/tr][/table]当点击是后弹出窗口要求输入用户名及密码骗取用户付费后使用: <BR> <BR>[url=http://www.heibai.net/article/pic/20080731c.jpg][img]http://www.heibai.net/article/pic/20080731c.jpg[/img][/url] <BR> <BR>网络行为: <BR> 连接以下网站下载恶意软件,安装antivirus XP 2008软件 <BR> <A href="http://www.r***.org">http://www.r***.org</A> <BR> <A href="http://avx****.com">http://avx****.com</A> <BR> <BR>注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的 <BR>位置。 <BR> <BR> %Windir% WINDODWS所在目录 <BR> %DriveLetter% 逻辑驱动器根目录 <BR> %ProgramFiles% 系统程序默认安装目录 <BR> %HomeDrive% 当前启动的系统的所在分区 <BR> %Documents and Settings% 当前用户文档根目录 <BR> %Temp% \Documents and Settings <BR> \当前用户\Local Settings\Temp <BR> %System32% 系统的 System32文件夹 <BR> <BR> Windows2000/NT中默认的安装路径是C:\Winnt\System32 <BR> windows95/98/me中默认的安装路径是C:\Windows\System <BR> windowsXP中默认的安装路径是C:\Windows\System32 <BR> <BR> <BR>清除方案: <BR> <BR>1 、使用安天防线2008可彻底清除此病毒(推荐), <BR> 请到安天网站下载: <A href="http://www.antiy.com">www.antiy.com</A> <BR>2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 <BR> (1)使用ATOOL“进程管理”关闭病毒相关进程。 <BR> (2) 恢复注册表项: <BR> HKEY_CURRENT_USER\Control Panel <BR> \Colors\Background <BR> 新: 字符串: "0 0 255" <BR> 旧: 字符串: "0 78 152" <BR> 描述:设置背景图片的尺寸 <BR> HKEY_CURRENT_USER\Control Panel\Desktop <BR> \OriginalWallpaper <BR> 新: 字符串: "C:\WINDOWS\system32 <BR> \phcrm3j0e37v.bmp" <BR> 旧: 字符串: "" <BR> HKEY_CURRENT_USER\Control Panel <BR> \Desktop\SCRNSAVE.EXE <BR> 新: 字符串: "C:\WINDOWS\system32 <BR> \blphcrm3j0e37v.scr" <BR> 旧: 字符串: "C:\WINDOWS\System32\logon.scr" <BR> 描述:替换当前桌面屏幕保护程序为病毒指定的屏幕保护 <BR> HKEY_CURRENT_USER\Control Panel <BR> \Desktop\Wallpaper <BR> 新: 字符串: "C:\WINDOWS\system32 <BR> \phcrm3j0e37v.bmp" <BR> 旧: 字符串: "C:\WINDOWS\web\wallpaper\Bliss.bmp" <BR> 描述:替换当前桌面背景为病毒指定的背景 <BR> HKEY_CURRENT_USER\Control Panel\Desktop <BR> \WallpaperStyle <BR> 新: 字符串: "0" <BR> 旧: 字符串: "2 <BR> (3)删除病毒添加的注册表启动项: <BR> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft <BR> \Software Notifier\InstallationID <BR> 值: 字符串: "b154ae95-06a3-470b-a06a-ce44408a3f0b" <BR> 描述:注册病毒安装ID号 <BR> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft <BR> \Windows\CurrentVersion\Run\lphcrm3j0e37v <BR> 值: 字符串: "C:\WINDOWS\system32\lphcrm3j0e37v.exe" <BR> 描述:添加病毒开机启动项 <BR> (4)删除病毒毒衍生的文件: <BR> %system32%\phcrm3j0e37v.bmp <BR> %system32%\lphcrm3j0e37v.exe <BR> %system32%\blphcrm3j0e37v.scr <BR> (5)删除 XP Antivirus 2008安装的所有文件: <BR> 使用ATOOL管理工具找到pphcrm3j0e37v.exe进程将其结束 <BR> (注:该文件用来保护XP Antivirus 2008防止被删除) <BR> 删除%Program Files%\目录下的rhcvm3j0e37v文件夹 </P>
<P>附: <BR> <BR>点击此处下载安天防线2008 <BR> 病毒上报信箱: <A href="mailto:submit@virusview.net">submit@virusview.net</A> </P>
<P> </P>
页:
[1]