Trojan-Downloader.Win32.Agent.bsc分析报告

Trojan-Downloader.Win32.Agent.bsc分析报告


安天实验室    CERT组分析


一、    病毒标签：

病毒名称：Trojan-Downloader.Win32.Agent.bsc
病毒类型： 木马类
文件 MD5： 7F6289796011D6DC1F00447EE501FD68
公开范围： 完全公开
危害等级： 3
文件长度： 1,078,784 字节
感染系统： windows 98以上版本
开发工具： Borland C++
加壳类型： 无

二、 病毒描述：

该病毒为木马类，病毒被激活后，复制自身到系统目录和各个驱动器下；并以多种方式添加启动项，包括注册表、「开始」菜单/程序/启动、在各个驱动器根目录下添加AutoRun自启动项。
病毒还伪装成网页的形式，用以迷惑用户点击运行。该病毒还可以记录键盘信息，达到其收集敏感信息的目的；主动连接网络下载大量病毒相关文件。主要传播途径为移动存储介质传播，还可通过恶意网站、其它病毒/木马下载传播。

三、 行为分析：

1、病毒被激活后，复制自身到系统目录和各个驱动器下，衍生病毒文件：
%WINDIR%/QQ.exe
%Documents and Settings%/All Users/「开始」菜单/程序/启动/Internet Explorer.exe
[DRIVE LETTER]:/ Autorun.inf
[DRIVE LETTER]:/ iexplore.exe
[DRIVE LETTER]:/ 网上资料.htm.exe

2、添加启动项，以达到自启动的目的：
⑴在注册表中添加启动项：
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键值: 字串: " QQ " = "%WINDIR%/QQ.exe"

⑵在“「开始」菜单/程序/启动” 中添加启动项：
%Documents and Settings%/All Users/「开始」菜单/程序/启动/Internet Explorer.exe

           ⑶在各个驱动器根目录下释放自身副本，添加AutoRun自启动项：
[DRIVE LETTER]:/ Autorun.inf
[DRIVE LETTER]:/ iexplore.exe

         3、该病毒具有键盘记录功能，用以记录用户的录入信息。

4、在各个驱动器根目录下释放自身副本并命名为：网上资料.htm.exe。以Internet Explorer的图标为网上资料.htm.exe的显示图标，伪装成网页的形式，用以迷惑用户点击。网上资料.htm.exe为可变文件名，内部列表为：
网上资料.htm.exe
下载.htm.exe
论文.htm.exe
个人资料.htm.exe
使用说明.htm.exe
日记.htm.exe
readme.htm.exe
重要内容.htm.exe
未命名.htm.exe

5、主动连接网络，开启大量线程下载相关病毒文件信息，下载地址如下：
125.126.150.104:80
59 .151.21 .100:80
125.126.144.74 :80
222.28 .152.150:80
220.181.18 .186:80
220.181.18 .124:80
221.194.134.32 :80
203.209.242.64 :80
203.209.242.52 :80
60 .28 .216.41 :80
60 .191.183.91 :80
60 .28 .252.67 :80
61 .135.151.200:80
61 .135.151.196:80
61 .152.108.141:80
64 .233.189.104:80
64 .213.200.101:80
211.94 .144.100:80

6、该病毒通过移动存储介质，恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

   
注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%/当前用户/Local Settings/Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:/Winnt/System32；
Windows95/98/Me中默认的安装路径是　C:/Windows/System；
WindowsXP中默认的安装路径是　C:/Windows/System32。
   
   
四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
        (1) 使用安天木马防线“进程管理”关闭病毒进程

        (2) 删除病毒文件
%WINDIR%/QQ.exe
%Documents and Settings%/All Users/「开始」菜单/程序/启动/Internet Explorer.exe
[DRIVE LETTER]:/ Autorun.inf
[DRIVE LETTER]:/ iexplore.exe
[DRIVE LETTER]:/ 网上资料.htm.exe

        (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
键值: 字串: " QQ " = "%WINDIR%/QQ.exe"

(4) 删除在“「开始」菜单/程序/启动” 中启动项：
%Documents and Settings%/All Users/「开始」菜单/程序/启动/Internet Explorer.exe

(5) 在各个驱动器和移动存储介质根目录下建Autorun病毒免疫：创建Autorun.inf文件，属性设为系统只