Trojan-Downloader.Win32.Agent.llv 查杀

Trojan-Downloader.Win32.Agent.llv

一、    病毒标签：

病毒名称： Trojan-Downloader.Win32.Agent.llv

病毒类型： 下载者/木马
文件 MD5: 706C0AA867D58B4E6517AFBB020918F0

文件长度：   16.0 KB (16,384 字节)
公开范围： 完全公开
危害等级： C
开发工具： C语言

加壳类型： 无壳
命名对照：  
Win32/TrojanDownloader.Small.OAL
二、 病毒描述：

该病毒的入口点经过修改。运行后在后台打开IE并连接网络下载运行病毒。

二、    行为分析：

运行后使用GetWindowsDirectoryA获取系统目录，然后将系统目录结合到"program files\\Internet Explorer\\IEXPLOR"

得到IE的路径。

然后WinExec运行IE，FindWindowA寻找类名为IEFrame的进程，获取其PID，打开进程获取模块句柄。使用WriteProcessMemory修改其内存，然后CreateRemoteThread建立远程线程下载病毒。

使用URLDownloadToFileA和ShellExecuteA下载以下地址文件并执行病毒：

.data:13153000  0000000F C \\wbem\\mian.exe                              

.data:13153010  0000001E C http://diybanked.cn/hb/28.exe                 

.data:13153030  00000010 C \\com\\mian28.exe                             

.data:13153040  0000001E C http://diybanked.cn/hb/27.exe                 

.data:13153060  00000010 C \\com\\mian27.exe                             

.data:13153070  0000001E C http://diybanked.cn/hb/26.exe                 

.data:13153090  00000011 C \\com\\AtiSrvn.exe                            

.data:131530A4  0000001E C http://diybanked.cn/hb/25.exe                 

.data:131530C4  00000010 C \\com\\mian25.exe                             

.data:131530D4  0000001E C http://diybanked.cn/hb/24.exe                 

.data:131530F4  00000010 C \\com\\mian24.exe                             

.data:13153104  0000001E C http://diybanked.cn/hb/23.exe                 

.data:13153124  00000010 C \\com\\mian23.exe                             

.data:13153134  0000001E C http://diybanked.cn/hb/22.exe                 

.data:13153154  00000010 C \\com\\mian22.exe                             

.data:13153164  0000001E C http://diybanked.cn/hb/21.exe                 

.data:13153184  00000010 C \\com\\mian21.exe                             

.data:13153194  0000001E C http://diybanked.cn/hb/20.exe                 

.data:131531B4  00000010 C \\com\\mian20.exe                              

.data:131531C4  0000001E C http://diybanked.cn/hb/19.exe                 

.data:131531E4  00000010 C \\com\\mian19.exe                             

.data:131531F4  0000001E C http://diybanked.cn/hb/18.exe                 

.data:13153214  00000010 C \\com\\mian18.exe                             

.data:13153224  0000001E C http://diybanked.cn/hb/17.exe                 

.data:13153244  00000010 C \\com\\mian17.exe                             

.data:13153254  0000001E C http://diybanked.cn/hb/16.exe                 

.data:13153274  00000010 C \\com\\mian16.exe                             

.data:13153284  0000001E C http://diybanked.cn/hb/15.exe                 

.data:131532A4  00000010 C \\com\\mian15.exe                             

.data:131532B4  0000001E C http://diybanked.cn/hb/14.exe                 

.data:131532D4  00000010 C \\com\\mian14.exe                             

.data:131532E4  0000001E C http://diybanked.cn/hb/13.exe                 

.data:13153304  00000010 C \\com\\mian13.exe                             

.data:13153314  0000001E C http://diybanked.cn/hb/12.exe                 

.data:13153334  00000010 C \\com\\mian12.exe                             

.data:13153344  0000001E C http://diybanked.cn/hb/11.exe                  

.data:13153364  00000010 C \\com\\mian11.exe                             

.data:13153374  0000001E C http://diybanked.cn/hb/10.exe                 

.data:13153394  00000010 C \\com\\mian10.exe                             

.data:131533A4  0000001D C http://diybanked.cn/hb/9.exe                  

.data:131533C4  0000000F C \\com\\mian9.exe                              

.data:131533D4  0000001D C http://diybanked.cn/hb/8.exe                  

.data:131533F4  0000000F C \\com\\mian8.exe                               

.data:13153404  0000001D C http://diybanked.cn/hb/7.exe                  

.data:13153424  0000000F C \\com\\mian7.exe                              

.data:13153434  0000001D C http://diybanked.cn/hb/6.exe                  

.data:13153454  0000000F C \\com\\mian6.exe                              

.data:13153464  0000001D C http://diybanked.cn/hb/5.exe                  

.data:13153484  0000000F C \\com\\mian5.exe                              

.data:13153494  0000001D C http://diybanked.cn/hb/4.exe                  

.data:131534B4  0000000F C \\com\\mian4.exe                              

.data:131534C4  0000001D C http://diybanked.cn/hb/3.exe                  

.data:131534E4  0000000F C \\com\\mian3.exe                               

.data:131534F4  0000001D C http://diybanked.cn/hb/2.exe                  

.data:13153514  0000000F C \\com\\mian2.exe                              

.data:13153524  00000005 C open                                          

.data:1315352C  0000001D C http://diybanked.cn/hb/1.exe   

解决方案：

将http://diybanked.cn添加到HOSTS进行屏蔽。

删除

c:\WINDOWS\system32\Com\mian1.exe

。。。。。

c:\WINDOWS\system32\Com\mian28.exe

一共28个文件：

%windir%\system32\Com\mian1.exe

%windir%\system32\Com\mian10.exe

%windir%\system32\Com\mian11.exe

%windir%\system32\Com\mian12.exe

%windir%\system32\Com\mian13.exe

%windir%\system32\Com\mian14.exe

%windir%\system32\Com\mian15.exe

%windir%\system32\Com\mian16.exe

%windir%\system32\Com\mian17.exe

%windir%\system32\Com\mian18.exe

%windir%\system32\Com\mian19.exe

%windir%\system32\Com\mian2.exe

%windir%\system32\Com\mian20.exe

%windir%\system32\Com\mian21.exe

%windir%\system32\Com\mian22.exe

%windir%\system32\Com\mian23.exe

%windir%\system32\Com\mian24.exe

%windir%\system32\Com\mian25.exe

%windir%\system32\Com\mian27.exe

%windir%\system32\Com\mian28.exe

%windir%\system32\Com\mian3.exe

%windir%\system32\Com\mian4.exe

%windir%\system32\Com\mian5.exe

%windir%\system32\Com\mian6.exe

%windir%\system32\Com\mian7.exe

%windir%\system32\Com\mian8.exe

%windir%\system32\Com\mian9.exe