首页 | 最新病毒 | 反病毒学院 | qq病毒专杀 | arp病毒 | MSN病毒 | auto病毒专杀 | U盘病毒 | downloader病毒 | 木马查杀 | 计算机病毒 | 最新漏洞   
您的位置: 首页 >> 最新病毒 >> 阅读资讯:Trojan-Downloader.Win32.Cntr.ioq(back.exe ,svcp.csv )分析

Trojan-Downloader.Win32.Cntr.ioq(back.exe ,svcp.csv )分析

[ 作者:安天 | 更新日期:2008-8-1 22:53:55 | 阅读次数: ]
病毒描述:
  该病毒为儒虫类病毒,病毒运行之后创建互斥量“gagagaradio”,防止病毒多次
运行,调用HttpOpenRequestA隐藏打开一个超级连接、连接到一个网站,创建一个
svcp.csv文件到%System32%目录下,调用API函数InternetReadFile读取网络信息,
将信息保存到svcp.csv文件中,调用InternetQueryDataAvailable函数,在
%System32%目录下创建一个back.exe利用远程调用代码技术获取网络信息将病毒数据
分段写入该文件中,访问网络判断病毒数据大小是否满足条件如满足则调用下载后的病
毒文件运行,并将svcp.csv文件删除,修改及删除注册表,下载后的back.exe行为分
析:调用back.exe调用函数,释放驱动文件“glok+3c51-3a43.sys、
glok+serv.config”(其中glok为固定不变的其它为随机数字或字母),到%Windir%
目录下,EnumServicesStatus 枚举系统服务,判断现有服务是否存在病毒服务,如存
在则不创建病毒服务,否则创建病毒病毒服务,在本地按顺序隐藏打开病毒预定好的大
量地址。

行为分析:
本地行为:

1、文件运行后会释放以下文件:

    %system32%\back.exe         92,672 字节
    %system32%\svcp.csv         64 字节
    %system32%\glok+3c51-3a43.sys    128,640 字节(随机文件名)
    %system32%\glok+serv.config     47,901 字节(随机文件名)
    %system32%\winsub.xml        4 字节

2、修改注册表项:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\W32Time\Parameters\NtpServer
    新: 字符串: "time.windows.com,time.nist.gov"
    旧: 字符串: "time.windows.com,0x1"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\W32Time\Parameters\NtpServer
    新: 字符串: "time.windows.com,time.nist.gov"
    旧: 字符串: "time.windows.com,0x1"

    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \ShellNoRoam\Bags\6\Shell\ShowCmd
    新: DWORD: 1 (0x1)
    旧: DWORD: 3 (0x3)

    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \ShellNoRoam\Bags\6\Shell\WFlags
    新: DWORD: 0 (0)
    旧: DWORD: 2 (0x2)

3、删除注册表项:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Capabilities
    值: DWORD: 0 (0)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Class
    值: 字符串: "LegacyDriver"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\ClassGUID
    值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\ConfigFlags
    值: DWORD: 0 (0)

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Control\ActiveService
    值: 字符串: "Gpc"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\DeviceDesc
    值: 字符串: "Generic Packet Classifier"

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Legacy
    值: DWORD: 1 (0x1)
   
4、病毒运行之后创建互斥量“gagagaradio”,防止病毒多次运行,调用
  HttpOpenRequestA隐藏打开一个超级连接、连接到一个网站,创建一个svcp.csv
  文件到%System32%目录下。

5、调用API函数InternetReadFile读取网络信息,将信息保存到svcp.csv文件中,
  调用InternetQueryDataAvailable函数,在%System32%目录下创建一个back.exe
  利用远程调用代码技术获取网络信息将病毒数据分段写入该文件中,访问网络连
  接http://213.155.3.**/aff/cntr.php?e=!!45337902_85_1_2_2&x=>=98&y=7621
  判断病毒数据大小是否满足条件如满足则关闭网络句丙,调用下载后的病毒文件运行,
  并将svcp.csv文件删除。

6、下载后的back.exe行为分析:调用back.exe调用函数,释放驱动文件“glok+3c51-
  3a43.sys、glok+serv.config(其中glok为固定不变的其它为随机数字或字母),
  到%Windir%目录下,EnumServicesStatus 枚举系统服务,判断现有服务是否存在
  病毒服务,如存在则不创建病毒服务,否则创建病毒病毒服务,在本地按顺序隐藏
  打开病毒预定好的大量地址。

网络行为:

     隐藏打开大量病毒预定好的网站地址 。
      
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  
        

    

--------------------------------------------------------------------------------
清除方案:
1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载: www.antiy.com 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。  
  (1)使用ATOOL“进程管理”关闭病毒相关进程。
  (2)恢复病毒修改的注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
    \Services\W32Time\Parameters\NtpServer
    新: 字符串: "time.windows.com,time.nist.gov"
    旧: 字符串: "time.windows.com,0x1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services\W32Time\Parameters\NtpServer
    新: 字符串: "time.windows.com,time.nist.gov"
    旧: 字符串: "time.windows.com,0x1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \ShellNoRoam\Bags\6\Shell\ShowCmd
    新: DWORD: 1 (0x1)
    旧: DWORD: 3 (0x3)
    HKEY_CURRENT_USER\Software\Microsoft\Windows
    \ShellNoRoam\Bags\6\Shell\WFlags
    新: DWORD: 0 (0)
    旧: DWORD: 2 (0x2)
  (3)恢复病毒删除的注册表项:
    删除的注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Capabilities
    值: DWORD: 0 (0)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Class
    值: 字符串: "LegacyDriver"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\ClassGUID
    值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\ConfigFlags
    值: DWORD: 0 (0)
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Control\ActiveService
    值: 字符串: "Gpc"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\DeviceDesc
    值: 字符串: "Generic Packet Classifier"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_GPC\0000\Legacy
    值: DWORD: 1 (0x1)
    HKEY_CURRENT_USER\Software\Microsoft
   \Windows\ShellNoRoam\MUICache
    删除MUICache键下的所有键值
  (4)删除病毒毒衍生的文件:
    %system32%\back.exe 92,672 字节
    %system32%\svcp.csv 64 字节
    %system32%\glok+3c51-3a43.sys 128,640 字节(随机文件名)
    %system32%\glok+serv.config 47,901 字节(随机文件名)
    %system32%\winsub.xml 4 字节


Tags:Trojan-Downloader.Win32.Cntr.ioq
来源:
上一篇:木马Trojan-PSW.Win32.OnLineGames.butf(mtewdh.dll,AVP.exe)  下一篇:百度/google变yahoo 的问题解决办法
您的评论
用户名:新注册) 密码: 匿名评论 [所有评论]

·用户发表意见仅代表其个人意见,并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯,提倡就事论事,杜绝漫骂和人身攻击等不文明行为
热点资讯

精彩推荐

最新资讯

随机推荐