Trojan.Win32.Agent.ala分析报告

Trojan.Win32.Agent.ala分析报告


    安天CERT
   
病毒标签：

    病毒名称： Trojan.Win32.Agent.ala
病毒类型： 木马类
文件 MD5： 6CDA14B1C70B1F09C997689646257F8E
公开范围： 完全公开
危害等级： 3
    文件长度： 703,951 字节
    感染系统： windows 98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： 无

二、 病毒描述：
   
    该病毒为木马类，病毒运行后复制自身到系统目录，衍生病毒文件，并删除自身。修改注册表值 ，创建服务，并以服务的方式达到随机启动的目的。设置远程线程来执行Exmlrpc.fne、krnln.fnr,在执行时将Exmlrpc.fne、krnln.fnr插入IEXPLORER.EXE进程进程中。以插入IEXPLORER.EXE进程中的病毒模块（Exmlrpc.fne、krnln.fnr）主动连接网络，下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

三、 行为分析：

    1、病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身：
    %System32%/PrRService.dll
    %System32%/PrRService.exe
    %WINDIR%/Fonts/PrRService.jpg
    %Program Files%/Internet Explorer/dp1.fne
    %Program Files%/Internet Explorer/Exmlrpc.fne
    %Program Files%/Internet Explorer/krnln.fnr
    %Temp%/E_4/dp1.fne
    %Temp%/E_4/Exmlrpc.fne
    %Temp%/E_4/krnln.fnr
   
    2、修改注册表值如下：
    HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile/shell/open/command/@
    新: 字符串: "C:/Program Files/Internet Explorer/IEXPLORE.EXE %1"
    旧: 字符串: ""C:/Program Files/Internet Explorer/iexplore.exe" -nohome"
    HKEY_LOCAL_MACHINE/SOFTWARE/Classes/mhtmlfile/shell/open/command/@
    新: 字符串: "C:/Program Files/Internet Explorer/IEXPLORE.EXE %1"
    旧: 字符串: ""C:/Program Files/Internet Explorer/iexplore.exe" -nohome"
   
    3、创建服务，并以服务的方式达到随机启动的目的：
    服务名称： PrRgressep
    显示名称： PrRgressep
    描述：  ""
    可执行文件的路径：c:/WINDOWS/system32/PrRService.exe
    启动方式：自动
    220.189.242.98：19820
   
    4、设置远程线程来执行Exmlrpc.fne、krnln.fnr,在执行时将Exmlrpc.fne、krnln.fnr插入IEXPLORER.EXE进程进程中。
   
    5、以插入IEXPLORER.EXE进程中的病毒模块（Exmlrpc.fne、krnln.fnr）主动连接网络，下载相关病毒文件信息:
    协议：TCP　
    地址：220.189.242.98　
    端口：19820 
   
6、该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。
   
   
    注释：
    %Windir%                      WINDODWS所在目录
    %DriveLetter%                逻辑驱动器根目录
    %ProgramFiles%                系统程序默认安装目录
    %HomeDrive%                  当前启动系统所在分区
    %Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
    %Documents and Settings%/当前用户/Local Settings/Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:/Winnt/System32；
Windows95/98/Me中默认的安装路径是　C:/Windows/System；
WindowsXP中默认的安装路径是　C:/Windows/System32。
       
       
四、 清除方案：
    1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
    2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
        强行卸载插入IEXPLORER.EXE进程进程中Exmlrpc.fne、krnln.fnr
(2) 强行删除病毒文件
    %System32%/PrRService.dll
    %System32%/PrRService.exe
    %WINDIR%/Fonts/PrRService.jpg
    %Program Files%/Internet Explorer/dp1.fne
    %Program Files%/Internet Explorer/Exmlrpc.fne
    %Program Files%/Internet Explorer/krnln.fnr
    %Temp%/E_4/dp1.fne
    %Temp%/E_4/Exmlrpc.fne
    %Temp%/E_4/krnln.fnr
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
    HKEY_LOCAL_MACHINE/SOFTWARE/Classes/htmlfile/shell/open/command/@
    新: 字符串: "C:/Program Files/Internet Explorer/IEXPLORE.EXE %1"
    旧: 字符串: ""C:/Program Files/Internet Explorer/iexplore.exe" -nohome"
    HKEY_LOCAL_MACHINE/SOFTWARE/Classes/mhtmlfile/shell/open/command/@
    新: 字符串: "C:/Program Files/Internet Explorer/IEXPLORE.EXE %1"
    旧: 字符串: ""C:/Program Files/Internet Explorer/iexplore.exe" -nohome"
        （4）禁用服务:PrRgressep