病毒標籤
檔案長度: 28,000位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: Upack 0.3.9 beta2s
行為分析
本地行為
1、檔案運行後會衍生以下檔案
(1)%WinDir%\Fonts\system\ati2evxx.exe 28,000位元組
(2)在各個邏輯驅動器根目錄下衍生autorun.inf及其對應的執行檔案ntldr.exe
%DriveLetter%\autorun.inf
%DriveLetter%\ntldr.exe
2、新建註冊表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
註冊表值:"TBMonEx"
類型: REG_SZ
值: " C:\WINDOWS\Fonts\system\ati2evxx.exe"
描述:添加啟動項,以達到隨機啟動的目的
3、添加映像劫持項,劫持眾多計算機安全相關軟體,劫持到C:\WINDOWS\Fonts\system\ati2evxx.exe
被劫持的檔案:
360rpt.exe
360Safe.exe
360tray.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLEANER.EXE
CLEANER3.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EGHOST.EXE
ESAFE.EXE
EXPWATCH.EXE
F-AGNT95.EXE
F-PROT.EXE
F-PROT95.EXE
F-STOPW.EXE
FESCUE.EXE
FINDVIRU.EXE
FP-WIN.EXE
FPROT.EXE
FRW.EXE
IAMAPP.EXE
IAMSERV.EXE
RAVmonD.exe
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
Iparmor.exe
JEDI.EXE
KAV32.exe
KAVPFW.EXE
KAVsvc.exe
KAVSvcUI.exe
KVFW.EXE
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
KVwsc.exe
KvXP.kxp
KWatchUI.EXE
LOCKDOWN2000.EXE
Logo1_.exe
Logo_1.exe
LOOKOUT.EXE
LUALL.EXE
MAILMON.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCANW.EXE
Navapsvc.exe
Navapw32.exe
NAVLU32.EXE
NAVNT.EXE
navw32.EXE
NAVWNT.EXE
NISUM.EXE
NMain.exe
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
PFW.EXE
Rav.exe
RAV7.EXE
RAV7WIN.EXE
RAVmon.exe
RAVtimer.exe
Rising.exe
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
THGUARD.EXE
TrojanHunter.exe
VET95.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
修復工具.exe
4、感染非系統盤符下的大部分exe檔案,感染方式:在檔案尾部加一個.ani節,將病毒信息寫入其中,原入口點寫入.ani節中進行保存,入口點改為病毒運行入口,修改節表與映像大小等信息。
網路行為
以進程ati2evxx.exe連線網路:69.64.147.*:666,下載病毒檔案並回傳信息。
注釋:
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動系統所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% 當前用戶TEMP快取變數;路徑為:
%Documents and Settings%\當前用戶\Local Settings\Temp
%System32% 是一個可變路徑;
病毒通過查詢作業系統來決定當前System32資料夾的位置;
Windows2000/NT中默認的安裝路徑是 C:\Winnt\System32;
Windows95/98/Me中默認的安裝路徑是 C:\Windows\System;
WindowsXP中默認的安裝路徑是 C:\Windows\System32。
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。推薦使用ATool管理工具。
(1)使用安天木馬防線或ATool中的“進程管理”關閉病毒進程
C:\WINDOWS\Fonts\system\ati2evxx.exe
(2)強行刪除病毒檔案
%WinDir%\Fonts\system\ati2evxx.exe 28,000位元組
%DriveLetter%\autorun.inf
%DriveLetter%\ntldr.exe
(3)刪除病毒添加的註冊表項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
註冊表值:"TBMonEx"
類型: REG_SZ
值: " C:\WINDOWS\Fonts\system\ati2evxx.exe"
(4)清除映像劫持下病毒添加的註冊表項。
(5)使用AVLPK安天終級專殺工具可徹底清除該病毒及修復其感染的正常檔案。