Trojan.Downloader.Win32.Agent.yko

王朝百科·作者佚名 2010-04-20

宽屏版字体: 小|中|大|超大

病毒标签病毒名称： Trojan-Downloader.Win32.Agent.yko

病毒类型：蠕虫

文件 MD5： 37366A95A5D0FD0664CDAC6512DC77A5

公开范围：完全公开

危害等级： 4

文件长度： 77,312 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： ASPack 2.12 -> Alexey Solodovnikov

病毒描述该病毒为刷流量病毒，病毒运行后加载动态链接库urlmon.dll，获取%Temp%临时文件夹目录，利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名），在%system32%oobe目录下利用命令行方式创建一个windows下删不掉的文件夹命名为：“bak..”，将%Temp%临时文件夹TBHAILYFXYV.zbc文件，利用命令行方式拷贝到%system32%oobeak.目录下，命名为：Outputbat.txt，作为作为代码的备份，遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc（随机病毒名），将文件时间值转换成DOS日期和时间值，并在临时目录下创建一个后缀以EXE同名的文件，获取MZP头以命令行方式将病毒打包成自解压文件并设置密码为：“logved*log;7^5#;tvn”，以达到杀毒软件无法解压文件而不能查杀该病毒文件的目的，在DOS下使用命令行解压文件install.exe，并以命令行方式启动该文件，在%system32%oobe目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象，病毒文件并创建一个名为5046（4位随机数字）并释放一个病毒文件svchost.exe到该目录下，创建该病毒进程，该文件用来定时隐藏打开大量的网页地址，添加注册表启动项，穿过windows自带防火墙，执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除，最后创建$$30689.bat批处理文件删除病毒原文件。

行为分析本地行为

1、文件运行后会释放以下文件

%system32%302fcc88b1.dll 92,672 字节 (10位随机数字与字母组合病毒名)

%windir%f218f4fbb2.dll 64 字节 (10位随机数字与字母组合病毒名)

%system32%oobe755svchost.exe 871,936 字节 (4位随机数字文件夹名)

%system32%oobeqnujhyroni.dll 563,712 字节

2、修改注册表项

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{03C12478-A0D3-4291-A535-F6D16BA08D68}InprocServer32@

值: 字符串: "C:WINDOWSsystem32oobeunkgknroni.dll"

描述：添加注册表启动项

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{03C12478-A0D3-4291-A535-F6D16BA08D68}ProgID@

值: 字符串: "unkgknroni.XunBHoSwf"

描述：病毒文件注册为BHO的名称

HKEY_LOCAL_MACHINESOFTWAREClassesunkgknroni.XunBHoSwfClsid@

值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"

描述：注册CLSID值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

Browser Helper Objects{03C12478-A0D3-4291-A535-F6D16BA08D68}

描述：将病毒DLL文件注册为BHO浏览器辅助对象

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccess

ParametersFirewallPolicyStandardProfileAuthorizedApplicationsList

C:WINDOWSsystem32oobe7955svchost.exe

值: 字符串: "C:WINDOWSsystem32oobe7955svchost.exe:*:Enabled:svchost"

描述：将病毒文件设置为Windows自带防火墙为旅行，达到调过防火墙窗口询问目的

3、病毒运行后加载动态连接库文件urlmon.dll，获取%Temp%临时文件夹目录，利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码到本机保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名）

4、在%system32%oobe目录下利用DOS命令行方式：CMD /C MD C:WINDOWSsystem32oobeak.创建一个windows下删不掉的文件夹命为：“bak..”，将%Temp%临时文件夹TBHAILYFXYV.zbc文件，利用命令行方式：CMD /C COPY C:DOCUME~1aLOCALS~1TempTBHAILYFXYV.zbc

C:WINDOWSsystem32oobeak..Outputbat.txt /Y拷贝到%system32%oobeak.目录下，命名为：Outputbat.txt，作为作为病毒代码的备份。

5、遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc（随机病毒名），将文件时间值转换成DOS日期和时间值，并在临时目录下创建一个后缀以TBHAILYFXYV.EXE同名的文件，获取MZP头以命令行方式：""%s" -p"%s" -o- -s -d"%s将病毒打包成自解压文件并设置密码为：“logved*log;7^5#;tvn”

6、在DOS下使用命令行：C:DOCUME~1aLOCALS~1TempKHOANEHWQPR.exe" -p"logved*log;7^5#;tvn" -o- -s -d"C:DOCUME~1aLOCALS~1Temp解压文件install.exe，并以命令行方式启动该文件，在%system32%oobe目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象，病毒文件并创建一个名以5046（4位随机数字的目录）并释放一个病毒文件svchost.exe到该目录下，创建该病毒进程，该文件用来定时隐藏打开大量的网页地址，执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除，最后创建$$30689.bat批处理文件删除病毒原文件

网络行为

连接以下网址统计病毒安装情况，并顺序隐藏打开大量病毒预定好的网址：

http://www.ww****.cn/usersetup.asp?

action=027B04E05BE9C3AD11EFF8364C0F7008436CB1B5107441BBC136545931684A0BD

F4DD741245DB1256C8ADF1A18A827E643FB175282FC3D4B

http://www.ww****.cn/usersetup.asp?

action=6D663F4F2B2AC7480D4710CBFE9572144AAA68BBF4D73AF73792A323C9E9416F34BED60

08CE304CC8E75B079077CEA8EE6318EA8F840EDEE32AFED2FB03C8CFF19818140F3646A4ABDA27E

22232B6796EFDC24927BC7BEB6C9C63CBFA8EABB0B87513EED40601DDDF3F1C3D3B166C74DB17E7A

7CCCE1AA93CDDD2777182AD129

*163*.txt

*yahoo*.txt

*sina*.txt

*3721*.txt

*alimama*.txt

*mmstat*.txt

*114*.txt

*yisou*.txt

*baidu*.txt

*google*.txt

*9v*.txt

*alibaba*.txt

*lianmeng*.txt

*2t3t*.txt

*sogou*.txt

*aliunion*.txt

*narrowad*.txt

*bolaa*.txt

*forsky*.txt

*heima8*.txt

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% Documents and Settings 当前用户Local SettingsTemp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:WinntSystem32

windows95/98/me中默认的安装路径是C:WindowsSystem

windowsXP中默认的安装路径是%system32%

清除方案1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

（1）使用ATOOL“进程管理”关闭%system32%oobe755svchost.exe路径的病毒进程

（2）恢复注册表项

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{03C12478-A0D3

-4291-A535-F6D16BA08D68}InprocServer32@

值: 字符串: "C:WINDOWSsystem32oobeunkgknroni.dll"

描述：添加注册表启动项

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{03C12478-A0D3-4291

-A535-F6D16BA08D68}ProgID@

值: 字符串: "unkgknroni.XunBHoSwf"

描述：病毒文件注册为BHO的名称

HKEY_LOCAL_MACHINESOFTWAREClassesunkgknroni.XunBHoSwfClsid@

值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"

描述：注册CLSID值

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerBrowser Helper Objects{03C12478-A0D3-4291-A535-F6D16BA08D68}

描述：将病毒DLL文件注册为BHO浏览器辅助对象

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccess

ParametersFirewallPolicyStandardProfileAuthorizedApplications

ListC:WINDOWSsystem32oobe7955svchost.exe

值: 字符串: "C:WINDOWSsystem32oobe7955svchost.exe:*:Enabled:svchost"

描述：将病毒文件设置为Windows自带防火墙为旅行，达到调过防火墙窗口询问目的

（3）删除病毒毒衍生的文件：

%system32%302fcc88b1.dll

%windir%f218f4fbb2.dll

%system32%oobe755svchost.exe

%system32%oobeqnujhyroni.dll

使用命令：rd bak../s在CMD命令下删除%system32%oobe目录下的bak.文件夹，或使用ATOOL工具强行删除该文件夹