病毒標籤
檔案 MD5: 1754E55800F753F51F69F7F21183D5AB
檔案長度: 25,728 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: WinUpack 0.39 final -> By Dwing
病毒描述
該病毒下載者木馬類,病毒運行後調用API獲取系統資料夾路徑,在%System32%目錄下創建病毒檔案ajfcaa.exe(6位隨機病毒名),並載入創建該病毒進程,遍歷進程查找是否存在一下進程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如發現存在以上進程名則調用TerminateProcess函式強行結束以上進程,調用LoadLibraryA函式載入SFC.DLL檔案。將%System32%\drivers\目錄下的beep.sys檔案刪除,並創建一個同名的檔案,創建dat檔案到臨時目錄,創建註冊表病毒服務,等待載入完畢後將dat檔案刪除,添加註冊表映像劫持,劫持多款安全軟體,使系統安全性降低,利用ZwQuerySystemInformation()枚舉核心模組,遍歷進程查找:DrvAnti.exe(驅動防火牆)、csrss.exe(系統進程),如找到則強行結以上2個進程,病毒運行後自我刪除,連線網路讀取列表下載大量惡意檔案到本地運行,經分析下載的檔案多為盜號木馬,給用戶清理帶來及大的不便。
行為分析
本地行為:
1、檔案運行後會釋放以下檔案:
%System32%\ajfcaa.exe 13,028 位元組
2、創建註冊表病毒服務:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Enum\Root\LEGACY_GDABR\0000\Service]
註冊表值: "gdabr"
類型: REG_SZ
值:"Gdabr"
描述: 服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Gdabr\Description]
註冊表值: "DisplayName"
類型: REG_SZ
值:"Gdabr"
描述: 服務描述
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Gdabr\DisplayName]
註冊表值: "DisplayName"
類型: REG_SZ
值:" Gdabr"
描述: 服務名稱
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Gdabr\ErrorControl]
註冊表值: "ErrorControl"
類型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服務控制
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Gdabr\ImagePath]
註冊表值: "ImagePath"
類型: REG_SZ
值:"\??\ C:\DOCUME~1\a\LOCALS~1\Temp\ _temp.dat"
描述: 服務映像檔案的啟動路徑
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Gdabr\Start]
註冊表值: "Start"
類型: REG_SZ
值:"DWORD: 3 (0x3)"
描述: 服務的啟動方式,手動
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Gdabr\Type]
註冊表值: "Type"
類型: REG_SZ
值:"DWORD: 1 (0x1)"
描述: 服務類型
3、映像劫持多款安全軟體:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows NT\CurrentVersion
\Image File Execution Options\被映像劫持的檔案名稱稱]
新建鍵值: "Debugger"
類型: REG_SZ
字元串: “ntsd -d”
劫持檔案名稱列表:
360rpt.exe、360safebox.exe、360tray.exe、adam.exe、
AgentSvr.exe、AppSvc32.exe、ati2evxx.exe、autoruns.exe、
avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
avp.exe、CCenter.exe、ccSvcHst.exe、egui.exe、esafe.exe、
FileDsty.exe、FTCleanerShell.exe、HijackThis.exe、IceSword.exe、
idag.exe、Iparmor.exe、isPwdSvc.exe、kabaload.exe、kaccore.exe、
KaScrScn.SCR、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、
KAVPF.exe、KAVPFW.exe、KAVSetup.exe、KAVStart.exe、kavsvc.exe、
KAVsvcUI.exe、KISLnchr.exe、kissvc.exe、KMailMon.exe、
KMFilter.exe、KPFW32.exe、kpfwsvc.exe、、KPPMain.exe、KRegEx.exe、
KRepair.com、KsLoader.exe、KVCenter.kxp、KvDetect.exe、KVFW.EXE、
KvfwMcl.exe、KVMonXP_1.kxp、kvol.exe、kvolself.exe、KvReport.kxp、
KVScan.kxp、KVsrvXP.exe、KVStub.kxp、kvupload.exe、KVwsc.exe、
kwatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、mcconsol.exe、
mmqczj.exe、mmsk.exe、navapsvc.exe、Navapw32.exe、nod32krn.exe、
NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、procexp.exe、QHSET.exe、
qqdoctor.exe、qqkav.exe、qqsc.exe、Ras.exe、rav.exe、rav.exe、
RAVmon.exe、RAVmonD.exe、ravstub.exe、ravtask.exe、ravtimer.exe、
ravtool.exe、RegClean.exe、regtool.exe、rfwmain.exe、
FYFireWall.exe、rfwproxy.exe、FYFireWall.exe、rfwsrv.exe、
rfwstub.exe、rising.exe、Rsaupd.exe、runiep.exe、safebank.exe、
safeboxtray.exe、safelive.exe、scan32.exe、shcfg32.exe、
SmartUp.exe、SREng.EXE、symlcsvc.exe、SysSafe.exe、
TrojanDetector.exe、Trojanwall.exe、、TrojDie.kxp、
UIHost.exe、UIHost.exe、UmxAgent.exe、UmxAttachment.exe、
UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、UpLive.exe、vsstat.exe、
webscanx.exe、WinDbg.exe、WoptiClean.exe、OllyDBG.EXE、OllyICE.EXE
4、遍歷進程查找是否存在一下進程名:GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe;如發現存在以上進程名則調用TerminateProcess函式強行結束以上進程。
5、調用LoadLibraryA函式載入SFC.DLL檔案。將%System32%\drivers\目錄下的beep.sys檔案刪除,並創建一個同名的檔案作為病毒服務,創建dat檔案到C:\DOCUME~1\a\LOCALS~1\Temp臨時目錄下,創建註冊表病毒服務,等待載入完畢後將dat檔案刪除。
6、利用ZwQuerySystemInformation()枚舉核心模組,遍歷進程查找:DrvAnti.exe(驅動防火牆)、csrss.exe(系統進程),如找到則強行結以上2個進程。
網路行為:
協定:TCP
連線埠:80
連線伺服器名:http://ccc.awer****.cn/txt.txt
IP位址:121.10.113.***
描述:連線伺服器讀取TXT列表內容下載病毒,讀取的列表內容:
http://cao.gm****.com/cao/aa1.exe
http://cao.gm****.com/cao/aa2.exe
http://cao.gm****.com/cao/aa3.exe
http://cao.gm****.com/cao/aa4.exe
http://cao.gm****.com/cao/aa5.exe
http://cao.gm****.com/cao/aa6.exe
http://cao1.gm****.com/cao/aa7.exe
http://cao1.gm****.com/cao/aa8.exe
http://cao1.gm****.com/cao/aa9.exe
http://cao1.gm****.com/cao/aa10.exe
http://cao1.gm****.com/cao/aa11.exe
http://cao1.gm****.com/cao/aa12.exe
http://cao2.gm****.com/cao/aa13.exe
http://cao2.gm****.com/cao/aa14.exe
http://cao2.gm****.com/cao/aa15.exe
http://cao2.gm****.com/cao/aa16.exe
http://cao2.gm****.com/cao/aa17.exe
http://cao2.gm****.com/cao/aa18.exe
http://cao3.gm****.com/cao/aa19.exe
http://cao3.gm****.com/cao/aa20.exe
http://cao3.gm****.com/cao/aa21.exe
http://cao3.gm****.com/cao/aa22.exe
http://cao3.gm****.com/cao/aa23.exe
http://cao3.gm****.com/cao/aa24.exe
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案:
1 、使用安天防線可徹底清除此病毒。
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL“進程管理”關閉病毒相關進程。
(2)強行刪除病毒檔案:
%System32%\ajfcaa.exe (隨機6位小寫字母病毒名)
(3)刪除病毒服務註冊表及映像劫持項:
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Enum\Root
\LEGACY_MHFP\0000\Service]
鍵值:"gdabr"
刪除gdabr鍵值
[HKEY_LOCAL_MACHINE\SYSTEM
\CurrentControlSet\Services]
鍵值:"gdabr"
刪除gdabr鍵值
[HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\CurrentVersion]
鍵值:"Image File Execution Options"
刪除註冊表Image File Execution Options鍵值
