科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Trojan-Downloader.Win32.Agent.llv 查杀

Trojan-Downloader.Win32.Agent.llv 查杀

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

病毒类型: 下载者/木马,文件 MD5: 706C0AA867D58B4E6517AFBB020918F0,文件长度: 16.0 KB,公开范围: 完全公开,危害等级: C,开发工具: C语言。

作者:zdnet安全频道 来源:论坛整理 2008年6月23日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

Trojan-Downloader.Win32.Agent.llv

一、    病毒标签:

 

病毒名称: Trojan-Downloader.Win32.Agent.llv

病毒类型: 下载者/木马
文件 MD5: 706C0AA867D58B4E6517AFBB020918F0

 

文件长度:   16.0 KB (16,384 字节)
公开范围: 完全公开
危害等级: C
开发工具: C语言

加壳类型: 无壳
命名对照:  
Win32/TrojanDownloader.Small.OAL
二、 病毒描述:

 

该病毒的入口点经过修改。运行后在后台打开IE并连接网络下载运行病毒。

二、    行为分析:

 

运行后使用GetWindowsDirectoryA获取系统目录,然后将系统目录结合到"program files\\Internet Explorer\\IEXPLOR"

 

得到IE的路径。

 

然后WinExec运行IEFindWindowA寻找类名为IEFrame的进程,获取其PID,打开进程获取模块句柄。使用WriteProcessMemory修改其内存,然后CreateRemoteThread建立远程线程下载病毒。

 

使用URLDownloadToFileAShellExecuteA下载以下地址文件并执行病毒:

 

.data:13153000  0000000F C \\wbem\\mian.exe                              

 

.data:13153010  0000001E C http://diybanked.cn/hb/28.exe                 

 

.data:13153030  00000010 C \\com\\mian28.exe                             

 

.data:13153040  0000001E C http://diybanked.cn/hb/27.exe                 

 

.data:13153060  00000010 C \\com\\mian27.exe                             

 

.data:13153070  0000001E C http://diybanked.cn/hb/26.exe                 

 

.data:13153090  00000011 C \\com\\AtiSrvn.exe                            

 

.data:131530A4  0000001E C http://diybanked.cn/hb/25.exe                 

 

.data:131530C4  00000010 C \\com\\mian25.exe                             

 

.data:131530D4  0000001E C http://diybanked.cn/hb/24.exe                 

 

.data:131530F4  00000010 C \\com\\mian24.exe                             

 

.data:13153104  0000001E C http://diybanked.cn/hb/23.exe                 

 

.data:13153124  00000010 C \\com\\mian23.exe                             

 

.data:13153134  0000001E C http://diybanked.cn/hb/22.exe                 

 

.data:13153154  00000010 C \\com\\mian22.exe                             

 

.data:13153164  0000001E C http://diybanked.cn/hb/21.exe                 

 

.data:13153184  00000010 C \\com\\mian21.exe                             

 

.data:13153194  0000001E C http://diybanked.cn/hb/20.exe                 

 

.data:131531B4  00000010 C \\com\\mian20.exe                              

 

.data:131531C4  0000001E C http://diybanked.cn/hb/19.exe                 

 

.data:131531E4  00000010 C \\com\\mian19.exe                             

 

.data:131531F4  0000001E C http://diybanked.cn/hb/18.exe                 

 

.data:13153214  00000010 C \\com\\mian18.exe                             

 

.data:13153224  0000001E C http://diybanked.cn/hb/17.exe                 

 

.data:13153244  00000010 C \\com\\mian17.exe                             

 

.data:13153254  0000001E C http://diybanked.cn/hb/16.exe                 

 

.data:13153274  00000010 C \\com\\mian16.exe                             

 

.data:13153284  0000001E C http://diybanked.cn/hb/15.exe                 

 

.data:131532A4  00000010 C \\com\\mian15.exe                             

 

.data:131532B4  0000001E C http://diybanked.cn/hb/14.exe                 

 

.data:131532D4  00000010 C \\com\\mian14.exe                             

 

.data:131532E4  0000001E C http://diybanked.cn/hb/13.exe                 

 

.data:13153304  00000010 C \\com\\mian13.exe                             

 

.data:13153314  0000001E C http://diybanked.cn/hb/12.exe                 

 

.data:13153334  00000010 C \\com\\mian12.exe                             

 

.data:13153344  0000001E C http://diybanked.cn/hb/11.exe                  

 

.data:13153364  00000010 C \\com\\mian11.exe                             

 

.data:13153374  0000001E C http://diybanked.cn/hb/10.exe                 

 

.data:13153394  00000010 C \\com\\mian10.exe                             

 

.data:131533A4  0000001D C http://diybanked.cn/hb/9.exe                  

 

.data:131533C4  0000000F C \\com\\mian9.exe                              

 

.data:131533D4  0000001D C http://diybanked.cn/hb/8.exe                  

 

.data:131533F4  0000000F C \\com\\mian8.exe                               

 

.data:13153404  0000001D C http://diybanked.cn/hb/7.exe                  

 

.data:13153424  0000000F C \\com\\mian7.exe                              

 

.data:13153434  0000001D C http://diybanked.cn/hb/6.exe                  

 

.data:13153454  0000000F C \\com\\mian6.exe                              

 

.data:13153464  0000001D C http://diybanked.cn/hb/5.exe                  

 

.data:13153484  0000000F C \\com\\mian5.exe                              

 

.data:13153494  0000001D C http://diybanked.cn/hb/4.exe                  

 

.data:131534B4  0000000F C \\com\\mian4.exe                              

 

.data:131534C4  0000001D C http://diybanked.cn/hb/3.exe                  

 

.data:131534E4  0000000F C \\com\\mian3.exe                               

 

.data:131534F4  0000001D C http://diybanked.cn/hb/2.exe                  

 

.data:13153514  0000000F C \\com\\mian2.exe                              

 

.data:13153524  00000005 C open                                          

 

.data:1315352C  0000001D C http://diybanked.cn/hb/1.exe   

 

解决方案:

http://diybanked.cn添加到HOSTS进行屏蔽。

 

删除

 

c:\WINDOWS\system32\Com\mian1.exe

。。。。。

c:\WINDOWS\system32\Com\mian28.exe

一共28个文件:

%windir%\system32\Com\mian1.exe

%windir%\system32\Com\mian10.exe

%windir%\system32\Com\mian11.exe

%windir%\system32\Com\mian12.exe

%windir%\system32\Com\mian13.exe

%windir%\system32\Com\mian14.exe

%windir%\system32\Com\mian15.exe

%windir%\system32\Com\mian16.exe

%windir%\system32\Com\mian17.exe

%windir%\system32\Com\mian18.exe

%windir%\system32\Com\mian19.exe

%windir%\system32\Com\mian2.exe

%windir%\system32\Com\mian20.exe

%windir%\system32\Com\mian21.exe

%windir%\system32\Com\mian22.exe

%windir%\system32\Com\mian23.exe

%windir%\system32\Com\mian24.exe

%windir%\system32\Com\mian25.exe

%windir%\system32\Com\mian27.exe

%windir%\system32\Com\mian28.exe

%windir%\system32\Com\mian3.exe

%windir%\system32\Com\mian4.exe

%windir%\system32\Com\mian5.exe

%windir%\system32\Com\mian6.exe

%windir%\system32\Com\mian7.exe

%windir%\system32\Com\mian8.exe

%windir%\system32\Com\mian9.exe

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章