Trojan-Dropper.Win32.Agent.bdo

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

 病毒名称： Trojan-Dropper.Win32.Agent.bdo

中文名称：下载者变种

病毒类型：木马类

文件 MD5： 85EC8DB377E6849DBDA9A1321C049AAA

公开范围：完全公开

危害等级： 4

文件长度：加壳后 83,456 字节，脱壳后120,832 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual C++ 6.0

加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

病毒描述：

 该病毒运行后，衍生病毒文件到系统目录下。添加注册表随机运行项以随机引导病毒体。

从指定服务器下载大量病毒体，包含大量游戏盗号程序，以及 ARP欺骗程序。

行为分析：

 1 、衍生下列副本与文件：

%WinDir%sclgntfys.dll

%WinDir%winamps.dll

%WinDir%SysSun1Ghook.dll

%WinDir%SysSun1svchost.exe

%WinDir%cmdbcs.exe

%WinDir%gv.dll

%WinDir%mppds.exe

%WinDir%javhavm.exe

%WinDir%msccrt.exe

%WinDir%shualai.exe

%WinDir%winform.exe

%System32%upnpsvc.exe

%System32%systemt.exe

%System32%systemm.exe

%System32%SMSSS.exe

%System32%servet.exe

%System32%MSTCS.exe

%System32%alg32.exe

%System32%8.exe

%System32%system.setupq*.*

%System32%systemsysbacks*.*

%Documents and settings% 当前用户名 local settingsemp*.*

……………

2 、新建注册表键值：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUMWdfmgrDescription

Value: String: " 启用 windows 用户模式驱动程序。 "

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUMWdfmgrDisplayName

Value: String: "Windows User Mode Driver"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUMWdfmgrImagePath

Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes

rundll32.exe C:WINDOWSwinamps. dll _start@16.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunmsupdate

Value: String: "%WINDOWS%AntiAdwa.exe other"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersion

WinlogonNotifysclgntfysDllName

Value: String: "%WINDOWS%sclgntfys.dll

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunc4

Value: String: "%WINDOWS%AntiAdwa.exe other"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRuncmdbcs

Value: String: "%WINDOWS%cmdbcs.exe "

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRuncmdbs

Value: String: "%WINDOWS%cmds.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunjavhavm

Value: String: "%WINDOWS%javhavm.exer"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

RunKernelFaultcheck

Value: String: "%WINDOWS%system32dumprep.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunmppds

Value: String: "%WINDOWS%mppds.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunpxdnd

Value: String: "%Documents and settings% 当前用户名

local settingsempwin4.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunshualai

Value: String: "%WINDOWS%shualai.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunestrun

Value: String: "%WINDOWS%estexe.exer"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunupxdndq

Value: String: "%Documents and settings% 当前用户名

local settingsempupxdnd.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

PoliciesExplorerRunsun

Value: String: "%WINDOWS%syssun1svchost.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

PoliciesExplorerRunwm

Value: String: "%WINDOWS%syswm7svchost.exe"

3 、连接下列服务器 , 下载病毒体：

Host:(2*8.6.1*5.1*)b*ol*m.com/up/win1.exe

Host: t.g*u*.com(2*2.7*.15.9*)/0.exe

Host: t.g*u*.com(2*2.7*.15.9*)/0/AVG.exe

Host: t.g*u*.com(2*2.7*.15.9*)//0/SMSSS.exe

Host:www.1*d*m.com(2*2.7*.15.3*)/xia/kehu0703.exe

4 、下载的病毒体 novel.exe 会发起 ARP 欺骗。

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。 

--------------------------------------------------------------------------------

清除方案：

  1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线断开网络，结束病毒进程：

IEXPLORE.EXE

novel.exe

upnpsvc.exe

(2) 删除并恢复病毒添加与修改的注册表键值：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesUMWdfmgrDescription

Value: String: " 启用 windows 用户模式驱动程序。 "

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesUMWdfmgrDisplayName

Value: String: "Windows User Mode Driver"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet

ServicesUMWdfmgrImagePath

Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes

rundll32.exe C:WINDOWSwinamps. dll _start@16.