Trojan-Clicker.Win32.Flyst.d分析

Trojan-Clicker.Win32.Flyst.d分析


安天实验室    CERT
一、病毒标签：
病毒名称： Trojan-Clicker.Win32.Flyst.d
病毒类型： 木马类
文件 MD5： D9B35CE327B68D7E6B1FA987E03D3CB6
公开范围： 完全公开
危害等级： 3
文件长度： 974,045 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： 未知壳
   
二、病毒描述：
   
近来，病毒在以“木马群”的新形式发展以外，还朝着另一个方向发展，那就是病毒不再专一的去盗取某一游戏或即时通迅的帐号与密码，而是先进行广泛的收集，再进行关键字筛选来进行病毒操作。例如本木马就是以gajkonline.exe 进行键盘记录的形式来记录信息，然后匹配关键字进行回传信息的。广告件与木马等类型不再分的那么明显，越来越趋于交叉化发展，例如本木马的另一主要目的就是弹出广告信息，达到宣传的目的。
   
三、行为分析：
   
本地行为:

1、 文件运行后会释放以下文件
%Temp%/E_4/eAPI.fne
%Temp%/E_4/HtmlView.fne
%Temp%/E_4/internet.fne
%Temp%/E_4/krnln.fnr
%Temp%/E_4/RegEx.fne
%Temp%/E_4/shell.fne
%Program Files%/Common Files/gajkonline.exe
%Program Files%/Common Files/onlinegame/gajkonline.exe

2、 新建注册表
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
注册表值："run"
类型： REG_SZ
值： " C:/PROGRA~1/COMMON~1/onlinegame/gajkonline.exe"
描述：添加启动项，以达到随机启动的目的
    
3、以进程 gajkonline.exe 进行键盘记录
   
   
网络行为:
   
    2、连接大量网址，以达到下载文件到本机，从而显示广告的目的，连接网址如下：
http://www.txwork.cn/a.html
http://www.77txt.com/soft/1027.htm
http://www.hehe1234.cn/index.htm
http://www.txwork.cn/html/1981.html
http://www.txwork.cn/html/3600.html
http://www.77txt.com/txt_106056/
http://www.77txt.com/txt_106959/
http://www.moyinge.com
http://www.xunlei591.com/
http://windown.com.cn/pinpai.php?id=219
http://windown.com.cn/pinpai.php?id=510
http://windown.com.cn/pinpai.php?id=708
http://www.3199520.cn
http://www.139767.cn
http://www.jinluandian.com
http://www.a8bt.com
http://www.gulanjing.cn
http://www.91580.cn
http://www.txwork.cn
http://webxunlei.com.cn/pinpai.php?id=479
http://webxunlei.com.cn/pinpai.php?id=350
http://webxunlei.com.cn/pinpai.php?id=322
http://ibaojian.com.cn/pinpai.php?id=149
http://ibaojian.com.cn/pinpai.php?id=207
http://ibaojian.com.cn/pinpai.php?id=1227
http://bailingliren.com.cn/pinpai.php?id=578
http://bailingliren.com.cn/pinpai.php?id=782
http://bailingliren.com.cn/pinpai.php?id=593
http://youxizixun.com.cn/pinpai.php?id=480
http://youxizixun.com.cn/pinpai.php?id=307
http://youxizixun.com.cn/pinpai.php?id=1170
http://cy777.com.cn/pinpai.php?id=355
http://cy777.com.cn/pinpai.php?id=89
http://cy777.com.cn/pinpai.php?id=403

2、主动弹出下列地址的网站：
http://www.efaxcn.com/Info.php?wlb=WLB1
http://pop1.9v.cn/code/showpop.asp?from=27153&typeid=35&plugin=0&adsidRnd=3&furl=http://www.txwork.cn/html/6188.html&PN=c6768b5c08eea51bf71e7523c1d0255d

   
注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%/当前用户/Local Settings/Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:/Winnt/System32；
Windows95/98/Me中默认的安装路径是　C:/Windows/System；
WindowsXP中默认的安装路径是　C:/Windows/System32。
   
   
四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程gajkonline.exe
   
(2) 强行删除病毒文件
%Temp%/E_4/eAPI.fne
%Temp%/E_4/HtmlView.fne
%Temp%/E_4/internet.fne
%Temp%/E_4/krnln.fnr
%Temp%/E_4/RegEx.fne
%Temp%/E_4/shell.fne
%Program Files%/Common Files/gajkonline.exe
%Program Files%/Common Files/onlinegame/gajkonline.exe
   
(3)删除病毒添加的注册表项
[HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows]
注册表值："run"
类型： REG_SZ
值： " C:/PROGRA~1/COMMON~1/onlinegame/gajkonline.exe"