盜號木馬
Trojan-PSW.Win32.Agent.aevn
捕獲時間
2010-1-12
危害等級
中
病毒癥狀
該樣本是使用“Microsoft visual C /C”編寫的“盜號木馬”,由微點(diǎn)主動防御軟件自動捕獲,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為15,520字節(jié),圖標(biāo)為“
”, 使用“ exe”擴(kuò)展名,通過網(wǎng)頁木馬、下載器下載、等方式進(jìn)行傳播。
用戶中毒后,會出現(xiàn)計算機(jī)及網(wǎng)絡(luò)運(yùn)行緩慢,游戲進(jìn)程無故退出等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網(wǎng)頁掛馬、文件捆綁、下載器下載
防范措施
已安裝使用微點(diǎn)主動防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點(diǎn)主動防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動防御軟件升級到最新版,微點(diǎn)主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點(diǎn)主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點(diǎn)主動防御軟件升級到最新版本,微點(diǎn)將報警提示您發(fā)現(xiàn)"Trojan-PSW.Win32.Agent.aevn”,請直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動防御軟件升級后截獲已知病毒
未安裝微點(diǎn)主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\system32\ar12A40094dll.dll
%SystemRoot%\Fonts\MSar12A40094exe.ttf
2、手動刪除以下注冊表:
HKEY_CLASSES_ROOT\CLSID\{5A041F13-A111-12A4-B0CF-F99818AA68A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5A041F13-A111-12A4-B0CF-F99818AA68A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{5A041F13-A111-12A4-B0CF-F99818AA68A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
名稱:{5A041F13-A111-12A4-B0CF-F99818AA68A5}
數(shù)據(jù):ar12A40094dll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
名稱:AppInit_DLLs 數(shù)據(jù):ar12A40094dll.dll
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
1.病毒運(yùn)行后動態(tài)獲取所需API地址。
2.設(shè)置自己為"SeDebugPrivilege"權(quán)限。
3.創(chuàng)建名稱為"12A4-B0CF"的互斥量,防止多個實(shí)例運(yùn)行。
4.遍歷進(jìn)程查找Game.exe、safeboxTray.exe和360Tray.exe,如果找到就結(jié)束該進(jìn)程。
5.創(chuàng)建并執(zhí)行批處理文件"%Temp%\~AR1871171.bat",該批處理文件執(zhí)行后會刪除"%SystemRoot%\system32\verclsid.exe"
6.釋放病毒文件"%SystemRoot%\system32\ar12A40094dll.dll",設(shè)置注冊表項,注入explorer.exe進(jìn)程以及有explorer.exe啟動的進(jìn)程。
7.如果ar12A40094dll.dll所在進(jìn)程為Game.exe,便創(chuàng)建線程,查找類名稱為"TianLongBaBu WndClass"的窗口,獲取用戶游戲信息,從"%SystemRoot%\Fonts\MSar12A40094exe.ttf"中讀取配置信息,連接網(wǎng)絡(luò);如果注入進(jìn)程為"AntiHiDetect.exe",創(chuàng)建線程,以"-lf"為參數(shù)啟動"%SystemRoot%\system32\Game.exe",然后結(jié)束該進(jìn)程。
8.拷貝自己為"%SystemRoot%\Fonts\MSar12A40094exe.ttf"。
9.創(chuàng)建批處理文件"% Temp%\~AR4243156.bat"并執(zhí)行,自我刪除。
病毒創(chuàng)建文件:
%Temp%\~AR1871171.bat
%SystemRoot%\system32\ar12A40094dll.dll
%SystemRoot%\Fonts\MSar12A40094exe.ttf
% Temp%\~AR4243156.bat
病毒刪除文件:
%Temp%\~AR1871171.bat
% Temp%\~AR4243156.bat
%SystemRoot%\system32\verclsid.exe
病毒創(chuàng)建注冊表:
HKEY_CLASSES_ROOT\CLSID\{5A041F13-A111-12A4-B0CF-F99818AA68A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5A041F13-A111-12A4-B0CF-F99818AA68A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5A041F13-A111-12A4-B0CF-F99818AA68A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
名稱:{5A041F13-A111-12A4-B0CF-F99818AA68A5}
數(shù)據(jù):ar12A40094dll.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
名稱:AppInit_DLLs 數(shù)據(jù):ar12A40094dll.dll
