至顶网›安全频道 ›Backdoor.Win32.Agent.aga分析报告

Backdoor.Win32.Agent.aga分析报告

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

病毒名称： Backdoor.Win32.Agent.aga 病毒类型：木马类文件 MD5： 268,288 字节

来源：论坛整理 2008年7月29日

Backdoor.Win32.Agent.aga分析报告

安天实验室 CERT组分析

一、病毒标签：

病毒名称： Backdoor.Win32.Agent.aga
病毒类型：木马类
文件 MD5： 268,288 字节
公开范围：完全公开
危害等级： 3
文件长度： 148052C2649062351B1BA6BC46499E6B
感染系统： windows 98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型：无

二、病毒描述：

该病毒为木马类，病毒运行后复制自身到系统目录，并重命名为mssnger.exe。修改注册表，添加启动项，添加启动项，以达到随机启动的目的,。禁用自动更新与系统安全设置服务, 禁用Intemet连接共享和防火墙服务。主动连接网络，下载相关病毒文件信息；等待病毒控制端连接。控制端可操作控制用户电脑进行屏幕监视、键盘记录、捕捉视频、发出DDOS功击、文件操作等。

三、行为分析：

1、病毒运行后，复制自身到系统目录下：
%System32%/mssnger.exe

2、对注册表进行修改：
(1)添加启动项，以达到随机启动的目的
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键值: 字串:" Windows Logon Service " = "%System32%/mssnger.exe "

(2)禁用自动更新与系统安全设置服务
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/wscsvc/Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/wuauserv/Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)

(3)添加防火墙默认放行列表
HKEY_CURRENT_USER/Software/Microsoft/OLE
键值: 字串:" Windows Logon Service " = "mssnger.exe"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List
键值: 字串:"默认" = ":*:Enabled:Windows Logon Service"

(4)禁用Intemet连接共享和防火墙服务
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Epoch/Epoch
新: DWORD: 21 (0x15)
旧: DWORD: 20 (0x14)
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)

3、主动连接网络，下载相关病毒文件信息；等待病毒服务端连接
协议：TCP　
地址：203.69.52.141　
端口：3453
进程：mssnger.exe

4、该病毒通过恶意网站、其它病毒/木马下载传播，可以接受控制端控制，控制端可操作控制用户电脑进行屏幕监视、键盘记录、捕捉视频、发出DDOS功击、文件操作等。

注释：
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动系统所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% 当前用户TEMP缓存变量；路径为：
%Documents and Settings%/当前用户/Local Settings/Temp
%System32% 是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:/Winnt/System32；
Windows95/98/Me中默认的安装路径是　C:/Windows/System；
WindowsXP中默认的安装路径是　C:/Windows/System32。

四、清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

(2) 删除病毒文件
%system%/mssnger.exe
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键值: 字串:" Windows Logon Service " = "%System32%/mssnger.exe "
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/wscsvc/Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/wuauserv/Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)
HKEY_CURRENT_USER/Software/Microsoft/OLE
键值: 字串:" Windows Logon Service " = "mssnger.exe"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List
键值: 字串:"默认" = ":*:Enabled:Windows Logon Service"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Epoch/Epoch
新: DWORD: 21 (0x15)
旧: DWORD: 20 (0x14)
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Start
新: DWORD: 4 (0x4)
旧: DWORD: 2 (0x2)

VIP专区

VIP用户

普通用户

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

往期文章

Backdoor.Win32.Agent.aga分析报告

业界热点: