扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Trojan-Downloader.Win32.Agent.ibh 分析
一、 病毒标签:
病毒名称: Trojan-Downloader.Win32.Agent.ibh
病毒类型: 下载者
文件大小 : 253553 byte
MD5 : 04ecdeaaea8b8e85431afaf3e278722e
SHA1 : 004808a66f612169fdbdcda6eb48cfd3938b8972
公开范围: 完全公开
危害等级: B
开发工具:Microsoft Visual C++
命名对照:
金山毒霸 Win32.Troj.DownLoaderT.ib.997376
解决方案:
屏蔽http://59.60.154.154与http://dow2.boyxx.us
强制删除文件:
c:\WINDOWS\system32\drivers\10a.exe
c:\WINDOWS\system32\drivers\10a.txt
c:\WINDOWS\system32\drivers\11a.exe
c:\WINDOWS\system32\drivers\11a.txt
c:\WINDOWS\system32\drivers\12a.exe
c:\WINDOWS\system32\drivers\12a.txt
c:\WINDOWS\system32\drivers\13a.exe
c:\WINDOWS\system32\drivers\13a.txt
c:\WINDOWS\system32\drivers\14a.exe
c:\WINDOWS\system32\drivers\14a.txt
c:\WINDOWS\system32\drivers\15a.exe
c:\WINDOWS\system32\drivers\15a.txt
c:\WINDOWS\system32\drivers\16a.exe
c:\WINDOWS\system32\drivers\16a.txt
c:\WINDOWS\system32\drivers\17a.exe
c:\WINDOWS\system32\drivers\17a.txt
c:\WINDOWS\system32\drivers\18a.exe
c:\WINDOWS\system32\drivers\18a.txt
c:\WINDOWS\system32\drivers\19a.exe
c:\WINDOWS\system32\drivers\19a.txt
c:\WINDOWS\system32\drivers\20a.exe
c:\WINDOWS\system32\drivers\20a.txt
c:\WINDOWS\system32\drivers\21a.exe
c:\WINDOWS\system32\drivers\21a.txt
c:\WINDOWS\system32\drivers\22a.exe
c:\WINDOWS\system32\drivers\22a.txt
c:\WINDOWS\system32\drivers\23a.exe
c:\WINDOWS\system32\drivers\23a.txt
c:\WINDOWS\system32\drivers\24a.exe
c:\WINDOWS\system32\drivers\24a.txt
c:\WINDOWS\system32\drivers\25a.exe
c:\WINDOWS\system32\drivers\2a.exe
c:\WINDOWS\system32\drivers\2a.txt
c:\WINDOWS\system32\drivers\3a.exe
c:\WINDOWS\system32\drivers\3a.txt
c:\WINDOWS\system32\drivers\4a.exe
c:\WINDOWS\system32\drivers\4a.txt
c:\WINDOWS\system32\drivers\5a.exe
c:\WINDOWS\system32\drivers\5a.txt
c:\WINDOWS\system32\drivers\6a.exe
c:\WINDOWS\system32\drivers\6a.txt
c:\WINDOWS\system32\drivers\7a.exe
c:\WINDOWS\system32\drivers\7a.txt
c:\WINDOWS\system32\drivers\8a.exe
c:\WINDOWS\system32\drivers\8a.txt
c:\WINDOWS\system32\drivers\9a.exe
c:\WINDOWS\system32\drivers\9a.txt
二、 病毒描述:
该病毒为机器狗新变种,运行后通过CACLS命令更改分区的用户权限,再连接网络下载大量病毒并运行,并打开DLLCACHE的EXPLORER。
三、 行为分析:
运行后,通过DOS命令CACLS更改分区用户权限方便下载病毒运行。
连接网络,读取http://dow2.boyxx.us/ggg.txt,获取病毒地址列表并下载至系统目录运行。
http://dow2.boyxx.us/ggg.txt的内容:
22:http://59.60.154.154/2a.exe
22:http://59.60.154.154/3a.exe
22:http://59.60.154.154/4a.exe
22:http://59.60.154.154/5a.exe
22:http://59.60.154.154/6a.exe
22:http://59.60.154.154/7a.exe
22:http://59.60.154.154/8a.exe
22:http://59.60.154.154/9a.exe
22:http://59.60.154.154/10a.exe
22:http://59.60.154.154/11a.exe
22:http://59.60.154.154/12a.exe
22:http://59.60.154.154/13a.exe
22:http://59.60.154.154/14a.exe
22:http://59.60.154.154/15a.exe
22:http://dow.183858.com:81/16a.exe
22:http://dow.183858.com:81/17a.exe
22:http://dow.183858.com:81/18a.exe
22:http://dow.183858.com:81/19a.exe
22:http://dow.183858.com:81/20a.exe
22:http://dow.183858.com:81/21a.exe
22:http://dow.183858.com:81/22a.exe
22:http://dow.183858.com:81/23a.exe
22:http://dow.183858.com:81/24a.exe
22:http://dow.183858.com:81/25a.exe
大部分病毒为盗号木马。
下载至:
c:\WINDOWS\system32\drivers\10a.exe
Size: 15,071 bytes
c:\WINDOWS\system32\drivers\10a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\11a.exe
Size: 17,312 bytes
c:\WINDOWS\system32\drivers\11a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\12a.exe
Size: 17,956 bytes
c:\WINDOWS\system32\drivers\12a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\13a.exe
Size: 12,678 bytes
c:\WINDOWS\system32\drivers\13a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\14a.exe
Size: 16,387 bytes
c:\WINDOWS\system32\drivers\14a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\15a.exe
Size: 15,850 bytes
c:\WINDOWS\system32\drivers\15a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\16a.exe
Size: 34,444 bytes
c:\WINDOWS\system32\drivers\16a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\17a.exe
Size: 18,018 bytes
c:\WINDOWS\system32\drivers\17a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\18a.exe
Size: 16,992 bytes
c:\WINDOWS\system32\drivers\18a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\19a.exe
Size: 16,135 bytes
c:\WINDOWS\system32\drivers\19a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\20a.exe
Size: 18,622 bytes
c:\WINDOWS\system32\drivers\20a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\21a.exe
Size: 19,300 bytes
c:\WINDOWS\system32\drivers\21a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\22a.exe
Size: 18,224 bytes
c:\WINDOWS\system32\drivers\22a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\23a.exe
Size: 17,852 bytes
c:\WINDOWS\system32\drivers\23a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\24a.exe
Size: 17,770 bytes
c:\WINDOWS\system32\drivers\24a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\25a.exe
Size: 1,308 bytes
c:\WINDOWS\system32\drivers\2a.exe
Size: 13,336 bytes
c:\WINDOWS\system32\drivers\2a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\3a.exe
Size: 17,438 bytes
c:\WINDOWS\system32\drivers\3a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\4a.exe
Size: 21,784 bytes
c:\WINDOWS\system32\drivers\4a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\5a.exe
Size: 19,174 bytes
c:\WINDOWS\system32\drivers\5a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\6a.exe
Size: 20,140 bytes
c:\WINDOWS\system32\drivers\6a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\7a.exe
Size: 17,416 bytes
c:\WINDOWS\system32\drivers\7a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\8a.exe
Size: 31,141 bytes
c:\WINDOWS\system32\drivers\8a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\9a.exe
Size: 17,924 bytes
c:\WINDOWS\system32\drivers\9a.txt
Size: 2 bytes
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者
京公网安备 11010802021500号