Trojan-GameThief.Win32.OnLineGames.skmj分析
Trojan-GameThief.Win32.OnLineGames.skmj分析--------------------------------------------------------------------------------
病毒标签:
病毒名称: Trojan-GameThief.Win32.OnLineGames.skmj
病毒类型: 木马下载者
文件 MD5: BC432EC3434D84E9104376834422539D
公开范围: 完全公开
危害等级: 4
文件长度: 21,776 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: WinUpack 0.39 final -> By Dwing
病毒描述:
该病毒下载者木马类,病毒运行之后调用API函数GetSystemDirectoryA获取系统目
录,在%System32%目录下创建病毒文件adfbaa.exe(随机病毒名),调CreateProcessA
创建病毒进程,遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、
wuauclt.exe、spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行
结束以上进程,调用LoadLibraryA函数加载SFC.DLL文件,释放批处理文件到%temp%临时
目录下,将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,
释放驱动文件恢复SSDT使卡巴主动防御失效,衍生的adfbaa.exe行为分析:释放驱动文件
过pcxyqr.sys,摘掉钩子使卡巴主动防御完全失效,创建病毒服务,添加注册表映像劫持,
遍历进程查找“drvanti.exe”驱动防火墙进程,如找到则调用API函数
TerminateProcess强行结束该进程,连接网络读取TXT列表下载大量恶意文件,经分析下
载的大量文件均为盗号木马,给用户清理代理及大的不便。
行为分析:
本地行为:
1、文件运行后会释放以下文件:
%System32%\adfbaa.exe(随机病毒名) 39,979 字节
%System32%\drivers\beep.sys 16,256 字节
%System32%\drivers\pcxyqr.sys 3,328 字节
2、创建注册表病毒服务:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\qabpxy\DisplayName]
注册表值: "DisplayName"
类型: REG_SZ
值:"qabpxy"
描述: 服务名称
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\qabpxy\ErrorControl]
注册表值: "ErrorControl"
类型: REG_SZ
值:"DWORD: 0 (0)"
描述: 服务控制
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\qabpxy\ImagePath]
注册表值: "ImagePath"
类型: REG_SZ
值:"\??\C:\DOCUME~1\a\LOCALS~1\Temp\_tmp.bat"
描述: 服务映像文件的启动路径
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\qabpxy\Start]
注册表值: "Start"
类型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服务的启动方式,自动
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\qabpxy\Type]
注册表值: "Type"
类型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服务类型
3、通过注册表映像劫持多款安全软件:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion\Image File Execution Options
\被映像劫持的文件名称]
注册表值: "Debugger"
类型: REG_SZ
字符串:"ntsd -d"
劫持文件名列表:
360rpt.exe、360safe.exe、360safebox.exe、360tray.exe、
adam.exe、AgentSvr.exe、AppSvc32.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
avp.exe、CCenter.exe、ccSvcHst.exe、EGHOST.exe、
FileDsty.exe、FTCleanerShell.exe、FYFireWall.exe、
HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、
isPwdSvc.exe、kabaload.exe、KaScrScn.SCR、KASMain.exe、
KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、KPFW32X.exe、KPfwSvc.exe、
KRegEx.exe、KRepair.com、KsLoader.exe、KVCenter.kxp、
KvDetect.exe、KvfwMcl.exe、KVMonXP.kxp、KVMonXP_1.kxp、
kvol.exe、kvolself.exe、KvReport.kxp、KVScan.kxp、
KVSrvXP.exe、KVStub.kxp、kvupload.exe、kvwsc.exe、
KvXP.kxp、KvXP_1.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、
MagicSet.exe、mcconsol.exe、mmqczj.exe、mmsk.exe、
Navapsvc.exe、Navapw32.exe、nod32.exe、nod32krn.exe、
nod32kui.exe、NPFMntor.exe、OllyDBG.EXE、OllyICE.EXE、
PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、
QQDoctor.exe、QQKav.exe、Ras.exe、RavMonD.exe、
RavStub.exe、RawCopy.exe、RegClean.exe、RegTool.exe、
rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、
rfwstub.exe、RsAgent.exe、Rsaupd.exe、runiep.exe、
safebank.exe、safeboxTray.exe、safelive.exe、scan32.exe、
shcfg32.exe、SmartUp.exe、SREng.EXE、symlcsvc.exe、
SysSafe.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.kxp、
UIHost.exe、UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、
UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
webscanx.exe、WinDbg.exe、WoptiClean.exe
4、遍历进程查找是否存在以下进程名:GuardField.exe、conime.exe、wuauclt.exe、
spoolsv.exe;如发现存在以上进程名则调用TerminateProcess函数强行结束以上
进程。
5、调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的
beep.sys文件删除,并创建一个同名的文件,释放驱动文件babopx.sys恢复SSDT
使卡巴主动防御失效。
6、衍生的adfbaa.exe行为分析:释放驱动文件过pcxyqr.sys,摘掉钩子使卡巴主动防
御完全失效,创建病毒服务,添加注册表映像劫持,遍历进程查找“drvanti.exe”
驱动防火墙进程,如找到则调用API函数TerminateProcess强行结束该进程。
网络行为:
协议:TCP
端口:80
连接服务器名:[url=http://www.ir***.com/css.txt]http://www.ir***.com/css.txt[/url] />
IP地址:121.10.115.***
描述:连接服务器读取TXT列表内容下载病毒,读取的列表内容:
[DOWN]
1=http://uiik.ur***.com/down/new1.exe
2=http://uiik.ur***.com/down/new2.exe
3=http://uiik.ur***.com/down/new3.exe
4=http://uiik.ur***.com/down/new4.exe
5=http://uiik.ur***.com/down/new5.exe
6=http://uiik.ur***.com/down/new6.exe
7=http://uiik.ur***.com/down/new7.exe
8=http://uiik.ur***.com/down/new8.exe
9=http://uiik.ur***.com/down/new9.exe
10=http://uiik.ur***.com/down/new10.exe
11=http://uiik.ur***.com/down/new11.exe
12=http://uiik.ur***.com/down/new12.exe
13=http://uiik.ur***.com/down/new13.exe
14=http://uiik.ur***.com/down/new14.exe
15=http://uiik.ur***.com/down/new15.exe
16=http://uiik.ur***.com/down/new16.exe
17=http://nxxv.ur***.com/down/new17.exe
18=http://nxxv.ur***.com/down/new18.exe
19=http://nxxv.ur***.com/down/new19.exe
20=http://nxxv.ur***.com/down/new20.exe
21=http://nxxv.ur***.com/down/new21.exe
22=http://nxxv.ur***.com/down/new22.exe
23=http://nxxv.ur***.com/down/new23.exe
24=http://nxxv.ur***.com/down/new24.exe
25=http://nxxv.ur***.com/down/new25.exe
26=http://nxxv.ur***.com/down/new26.exe
27=http://nxxv.ur***.com/down/new27.exe
28=http://nxxv.ur***.com/down/new28.exe
29=http://nxxv.ur***.com/down/new29.exe
30=http://nxxv.ur***.com/down/new30.exe
31=http://nxxv.ur***.com/down/new31.exe
32=http://nxxv.ur***.com/down/new32.exe
33=http://nxxv.ur***.com/down/new33.exe
34=http://nxxv.ur***.com/down/new34.exe
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
请到安天网站下载: [url=http://www.antiy.com]www.antiy.com[/url]
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL进程管理结束病毒进程。
(2)强行删除病毒下载的大量病毒文件:
%System32%\adfbaa.exe(随机病毒名)
%System32%\drivers\beep.sys
%System32%\drivers\pcxyqr.sys
(注:该病毒下载的病毒列表可能会随时变化)
(3)删除病毒创建的注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services]
注册表值: "qabpxy"
删除qabpxy键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion\
Image File Execution Options
\被映像劫持的文件名称]
删除Image File Execution Options键值下所有被映
像劫持的文件名称。
附:
点击此处下载安天防线2008
病毒上报信箱: [email=submit@virusview.net]submit@virusview.net[/email] />
页:
[1]