扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年6月23日
关键字:
Trojan-Downloader.Win32.Agent.llv
一、 病毒标签:
病毒名称: Trojan-Downloader.Win32.Agent.llv
病毒类型: 下载者/木马
文件 MD5: 706C0AA867D58B4E6517AFBB020918F0
文件长度: 16.0 KB (16,384 字节)
公开范围: 完全公开
危害等级: C
开发工具: C语言
加壳类型: 无壳
命名对照:
Win32/TrojanDownloader.Small.OAL
二、 病毒描述:
该病毒的入口点经过修改。运行后在后台打开IE并连接网络下载运行病毒。
二、 行为分析:
运行后使用GetWindowsDirectoryA获取系统目录,然后将系统目录结合到"program files\\Internet Explorer\\IEXPLOR"
得到IE的路径。
然后WinExec运行IE,FindWindowA寻找类名为IEFrame的进程,获取其PID,打开进程获取模块句柄。使用WriteProcessMemory修改其内存,然后CreateRemoteThread建立远程线程下载病毒。
使用URLDownloadToFileA和ShellExecuteA下载以下地址文件并执行病毒:
.data:13153000 0000000F C \\wbem\\mian.exe
.data:13153010 0000001E C http://diybanked.cn/hb/28.exe
.data:13153030 00000010 C \\com\\mian28.exe
.data:13153040 0000001E C http://diybanked.cn/hb/27.exe
.data:13153060 00000010 C \\com\\mian27.exe
.data:13153070 0000001E C http://diybanked.cn/hb/26.exe
.data:13153090 00000011 C \\com\\AtiSrvn.exe
.data:131530A4 0000001E C http://diybanked.cn/hb/25.exe
.data:131530C4 00000010 C \\com\\mian25.exe
.data:131530D4 0000001E C http://diybanked.cn/hb/24.exe
.data:131530F4 00000010 C \\com\\mian24.exe
.data:13153104 0000001E C http://diybanked.cn/hb/23.exe
.data:13153124 00000010 C \\com\\mian23.exe
.data:13153134 0000001E C http://diybanked.cn/hb/22.exe
.data:13153154 00000010 C \\com\\mian22.exe
.data:13153164 0000001E C http://diybanked.cn/hb/21.exe
.data:13153184 00000010 C \\com\\mian21.exe
.data:13153194 0000001E C http://diybanked.cn/hb/20.exe
.data:131531B4 00000010 C \\com\\mian20.exe
.data:131531C4 0000001E C http://diybanked.cn/hb/19.exe
.data:131531E4 00000010 C \\com\\mian19.exe
.data:131531F4 0000001E C http://diybanked.cn/hb/18.exe
.data:13153214 00000010 C \\com\\mian18.exe
.data:13153224 0000001E C http://diybanked.cn/hb/17.exe
.data:13153244 00000010 C \\com\\mian17.exe
.data:13153254 0000001E C http://diybanked.cn/hb/16.exe
.data:13153274 00000010 C \\com\\mian16.exe
.data:13153284 0000001E C http://diybanked.cn/hb/15.exe
.data:131532A4 00000010 C \\com\\mian15.exe
.data:131532B4 0000001E C http://diybanked.cn/hb/14.exe
.data:131532D4 00000010 C \\com\\mian14.exe
.data:131532E4 0000001E C http://diybanked.cn/hb/13.exe
.data:13153304 00000010 C \\com\\mian13.exe
.data:13153314 0000001E C http://diybanked.cn/hb/12.exe
.data:13153334 00000010 C \\com\\mian12.exe
.data:13153344 0000001E C http://diybanked.cn/hb/11.exe
.data:13153364 00000010 C \\com\\mian11.exe
.data:13153374 0000001E C http://diybanked.cn/hb/10.exe
.data:13153394 00000010 C \\com\\mian10.exe
.data:131533A4 0000001D C http://diybanked.cn/hb/9.exe
.data:131533C4 0000000F C \\com\\mian9.exe
.data:131533D4 0000001D C http://diybanked.cn/hb/8.exe
.data:131533F4 0000000F C \\com\\mian8.exe
.data:13153404 0000001D C http://diybanked.cn/hb/7.exe
.data:13153424 0000000F C \\com\\mian7.exe
.data:13153434 0000001D C http://diybanked.cn/hb/6.exe
.data:13153454 0000000F C \\com\\mian6.exe
.data:13153464 0000001D C http://diybanked.cn/hb/5.exe
.data:13153484 0000000F C \\com\\mian5.exe
.data:13153494 0000001D C http://diybanked.cn/hb/4.exe
.data:131534B4 0000000F C \\com\\mian4.exe
.data:131534C4 0000001D C http://diybanked.cn/hb/3.exe
.data:131534E4 0000000F C \\com\\mian3.exe
.data:131534F4 0000001D C http://diybanked.cn/hb/2.exe
.data:13153514 0000000F C \\com\\mian2.exe
.data:13153524 00000005 C open
.data:1315352C 0000001D C http://diybanked.cn/hb/1.exe
解决方案:
将http://diybanked.cn添加到HOSTS进行屏蔽。
删除
c:\WINDOWS\system32\Com\mian1.exe
。。。。。
c:\WINDOWS\system32\Com\mian28.exe
一共28个文件:
%windir%\system32\Com\mian1.exe
%windir%\system32\Com\mian10.exe
%windir%\system32\Com\mian11.exe
%windir%\system32\Com\mian12.exe
%windir%\system32\Com\mian13.exe
%windir%\system32\Com\mian14.exe
%windir%\system32\Com\mian15.exe
%windir%\system32\Com\mian16.exe
%windir%\system32\Com\mian17.exe
%windir%\system32\Com\mian18.exe
%windir%\system32\Com\mian19.exe
%windir%\system32\Com\mian2.exe
%windir%\system32\Com\mian20.exe
%windir%\system32\Com\mian21.exe
%windir%\system32\Com\mian22.exe
%windir%\system32\Com\mian23.exe
%windir%\system32\Com\mian24.exe
%windir%\system32\Com\mian25.exe
%windir%\system32\Com\mian27.exe
%windir%\system32\Com\mian28.exe
%windir%\system32\Com\mian3.exe
%windir%\system32\Com\mian4.exe
%windir%\system32\Com\mian5.exe
%windir%\system32\Com\mian6.exe
%windir%\system32\Com\mian7.exe
%windir%\system32\Com\mian8.exe
%windir%\system32\Com\mian9.exe
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。