科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Trojan-Clicker.Win32.Flyst.d分析

Trojan-Clicker.Win32.Flyst.d分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Trojan-Clicker.Win32.Flyst.d分析

来源:论坛整理 2008年7月30日

关键字: 安全防范 病毒 木马

  • 评论
  • 分享微博
  • 分享邮件
Trojan-Clicker.Win32.Flyst.d分析


安天实验室    CERT
一、病毒标签:
病毒名称: Trojan-Clicker.Win32.Flyst.d
病毒类型: 木马类
文件 MD5: D9B35CE327B68D7E6B1FA987E03D3CB6
公开范围: 完全公开
危害等级: 3
文件长度: 974,045 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: 未知壳
   
二、病毒描述:
   
近来,病毒在以“木马群”的新形式发展以外,还朝着另一个方向发展,那就是病毒不再专一的去盗取某一游戏或即时通迅的帐号与密码,而是先进行广泛的收集,再进行关键字筛选来进行病毒操作。例如本木马就是以gajkonline.exe 进行键盘记录的形式来记录信息,然后匹配关键字进行回传信息的。广告件与木马等类型不再分的那么明显,越来越趋于交叉化发展,例如本木马的另一主要目的就是弹出广告信息,达到宣传的目的。
   
三、行为分析:
   
本地行为:

1、 文件运行后会释放以下文件
%Temp%/E_4/eAPI.fne
%Temp%/E_4/HtmlView.fne
%Temp%/E_4/internet.fne
%Temp%/E_4/krnln.fnr
%Temp%/E_4/RegEx.fne
%Temp%/E_4/shell.fne
%Program Files%/Common Files/gajkonline.exe
%Program Files%/Common Files/onlinegame/gajkonline.exe

2、 新建注册表
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
注册表值:"run"
类型: REG_SZ
值: " C:/PROGRA~1/COMMON~1/onlinegame/gajkonline.exe"
描述:添加启动项,以达到随机启动的目的
    
3、以进程 gajkonline.exe 进行键盘记录
   
   
网络行为:
   
    2、连接大量网址,以达到下载文件到本机,从而显示广告的目的,连接网址如下:
http://www.txwork.cn/a.html
http://www.77txt.com/soft/1027.htm
http://www.hehe1234.cn/index.htm
http://www.txwork.cn/html/1981.html
http://www.txwork.cn/html/3600.html
http://www.77txt.com/txt_106056/
http://www.77txt.com/txt_106959/
http://www.moyinge.com
http://www.xunlei591.com/
http://windown.com.cn/pinpai.php?id=219
http://windown.com.cn/pinpai.php?id=510
http://windown.com.cn/pinpai.php?id=708
http://www.3199520.cn
http://www.139767.cn
http://www.jinluandian.com
http://www.a8bt.com
http://www.gulanjing.cn
http://www.91580.cn
http://www.txwork.cn
http://webxunlei.com.cn/pinpai.php?id=479
http://webxunlei.com.cn/pinpai.php?id=350
http://webxunlei.com.cn/pinpai.php?id=322
http://ibaojian.com.cn/pinpai.php?id=149
http://ibaojian.com.cn/pinpai.php?id=207
http://ibaojian.com.cn/pinpai.php?id=1227
http://bailingliren.com.cn/pinpai.php?id=578
http://bailingliren.com.cn/pinpai.php?id=782
http://bailingliren.com.cn/pinpai.php?id=593
http://youxizixun.com.cn/pinpai.php?id=480
http://youxizixun.com.cn/pinpai.php?id=307
http://youxizixun.com.cn/pinpai.php?id=1170
http://cy777.com.cn/pinpai.php?id=355
http://cy777.com.cn/pinpai.php?id=89
http://cy777.com.cn/pinpai.php?id=403

2、主动弹出下列地址的网站:
http://www.efaxcn.com/Info.php?wlb=WLB1
http://pop1.9v.cn/code/showpop.asp?from=27153&typeid=35&plugin=0&adsidRnd=3&furl=http://www.txwork.cn/html/6188.html&PN=c6768b5c08eea51bf71e7523c1d0255d

   
注释:
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量;路径为:
%Documents and Settings%/当前用户/Local Settings/Temp
%System32%                    是一个可变路径;
病毒通过查询操作系统来决定当前System32文件夹的位置;
Windows2000/NT中默认的安装路径是 C:/Winnt/System32;
Windows95/98/Me中默认的安装路径是 C:/Windows/System;
WindowsXP中默认的安装路径是 C:/Windows/System32。
   
   
四、 清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.comhttp://www.antiy.com/download/index.htm
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程gajkonline.exe
   
(2) 强行删除病毒文件
%Temp%/E_4/eAPI.fne
%Temp%/E_4/HtmlView.fne
%Temp%/E_4/internet.fne
%Temp%/E_4/krnln.fnr
%Temp%/E_4/RegEx.fne
%Temp%/E_4/shell.fne
%Program Files%/Common Files/gajkonline.exe
%Program Files%/Common Files/onlinegame/gajkonline.exe
   
(3)删除病毒添加的注册表项
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
注册表值:"run"
类型: REG_SZ
值: " C:/PROGRA~1/COMMON~1/onlinegame/gajkonline.exe"
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章