您现在的位置： IT专家网 > 安全子站 > 评论分析

Worm.Win32.Agent.t蠕虫样本分析

作者: 奚振弟, 　出处:IT专家网,　责任编辑: 张帅,　

2007-12-12 13:06

　　Worm.Win32.Agent.t蠕虫病毒运行后,衍生病毒副本到系统目录下,修改注册表实现自启动,连接网络获取病毒更新地址以下载病毒体到本机运行……

　　病毒名称： Worm.Win32.Agent.t

　　病毒类型：蠕虫类

　　文件 MD5： C4BFC29229607CBEA877CBC40EB5D098

　　文件长度：脱壳前52,736 字节，脱壳后145,920 字节

　　感染系统： Windows98以上版本

　　开发工具： Borland C++ 1999

　　加壳类型： PECompact 2.x -> Jeremy Collake

　　命名对照：趋势[TROJ_DELF.JIP]SOPHOS[Mal/Behav-097]

　　NOD32[a variant of Win32/Agent.NAU worm]IKARUS[Worm.Win32.Agent.t]

　　AVG[Agent.FTJ]AVAST[Win32:Delf-DTM [Wrm]]

　　病毒描述：

　　该病毒运行后，衍生病毒副本到系统多个目录下，添加注册表多处自启动项以跟随系统引导病毒体。连接网络获取病毒更新地址以下载病毒体到本机运行。下载的病毒程序包含后门程序、蠕虫程序、木马程序等。修改注册表相关键值，以隐藏病毒体，搜索除C以外的d-z个逻辑驱动器，在其根目录下衍生自动运行文件及病毒副本，当用户双击盘符时，即激活病毒体。病毒衍生的程序会下载其它病毒，从而造成连锁反应，严重情况下，可造成用户down机.

　　行为分析：

　　1、病毒衍生文件

　　%WinDir%\病毒副本.exe

　　%WinDir%\112.exe 20,480 字节

　　%WinDir%\121.exe 25,088 字节

　　%WinDir%\123.exe 22,993 字节

　　%WinDir%\444.exe 234,496 字节

　　%WinDir%\817.exe 143,360 字节

　　%WinDir%\concmd.dll 4,096 字节

　　%WinDir%\netcom.dll 237 字节

　　%System32%\449.exe 13,878 字节

　　%WinDir%\Temp\~myC.tmp 176,128 字节

　　%System32%\dirvers\2dfgbu9.sys 17,664 字节

　　%System32%\dirvers\acpidisk.sys 199,268 字节

　　%System32%\dirvers\mjaife1jj.sys 20,352 字节

　　%Documents and Settings%\当前用户名\LOCALS~1\Temp\install.exe

　　2、病毒删除的注册表项:

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSConfig

　　Value: String: "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

　　3、病毒修改的注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
　　New: String: "C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\病毒副本名.exe"
　　Old: String: "C:\WINDOWS\system32\userinit.exe,"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
　　New: DWORD: 0 (0)
　　Old: DWORD: 1 (0x1)
　　HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
　　New: String: "C:\Documents and Settings\当前用户名\Local Settings\Temporary Internet Files"
　　Old: String: "C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files"
　　HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
　　New: String: "C:\Documents and Settings\当前用户名\Cookies"
　　Old: String: "C:\WINDOWS\system32\config\systemprofile\Cookies"
　　HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
　　New: String: "C:\Documents and Settings\当前用户名\Local Settings\History"
　　Old: String: "C:\WINDOWS\system32\config\systemprofile\Local Settings\History"

　　4、病毒添加的注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\Description
　　Value: String: "Network Connections Management"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\DisplayName
　　Value: String: "Windows Accounts Driver"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\ImagePath
　　Value: Type: REG_EXPAND_SZ Length: 28 (0x1c) bytes
　　C:\WINDOWS\System32\449.exe.
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mjaife1jj\DisplayName
　　Value: String: "mjaife1jj"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mjaife1jj\ImagePath
　　Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes
　　C:\WINDOWS\System32\drivers\mjaife1jj.sys.
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acpidisk\DisplayName
　　Value: String: "acpidisk"
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acpidisk\ImagePath
　　Value: Type: REG_EXPAND_SZ Length: 45 (0x2d) bytes
　　C:\WINDOWS\System32\drivers\acpidisk.sys.
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\2dfgbu9\DisplayName
　　Value: Non-ASCII string:
　　2dfgbu9System Bus Extender.
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acpidisk\ImagePath
　　Value: Type: REG_EXPAND_SZ Length: 45 (0x2d) bytes
　　C:\WINDOWS\System32\drivers\2dfgbu9.sys.
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSetup
　　Value: String: "C:\DOCUME~1\当前用户名\LOCALS~1\Temp\install.exe"

　　5、连接网络下载病毒体：

　　病毒更新地址及内容:

cha.onniro.cn(221.8.74.167)/text/a853.txt
　　http://www.qqxinfeng.cn/svchost.exe
　　http://www.51xst.com/haohao.exe
　　http://huimie.xicp.net/qqqyyy.exe
　　http://www.jzmir2.com(61.176.195.106)/m/xy.exe
　　http://www.48du.com(221.8.74.167)/rar/my_70136.rar
　　http://qqqyyy2.3322.org(218.61.18.34)/Server.exe
　　http://www.ad9988.com(218.61.18.34)/qqqyyy.exe
　　http://www.48du.com(221.8.74.167)/rar/socvher.rar
　　http://www.48du.com/rar/my_70136.rar
　　http://www.tuding.net(222.169.224.76)/ad/bd2.rar
　　http://www.tuding.net(222.169.224.76)/ad/bd4.rar
　　http://www.tuding.net(222.169.224.76)/ad/bd6.rar
　　http://www.tuding.net(222.169.224.76)/ad/bd8.rar

　　代码分析：

创建互斥体

//创建互斥体

00401F8A |. 68 A3454100 PUSH 1111.004145A3 ; /MutexName = "sfaee5353g#2007" //互斥体名字

00401F8F |. 6A 00 PUSH 0 ; |InitialOwner = FALSE //判断结果

00401F91 |. 6A 00 PUSH 0 ; |pSecurity = NULL

00401F93 |. E8 BC150100 CALL <JMP.&kernel32.CreateMutexA> ; \CreateMutexA //调用API创建

创建注册表键值

//创建注册表键值

004012B1 |. 53 PUSH EBX

004012B2 |. BB 864A4100 MOV EBX,1111.00414A86 ; software\microsoft\windows\currentversion\policies\explorer

004012B7 |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]

004012BA |. 50 PUSH EAX ; /pHandle

004012BB |. 68 06000200 PUSH 20006 ; |Access = KEY_WRITE

004012C0 |. 6A 00 PUSH 0 ; |Reserved = 0

004012C2 |. 53 PUSH EBX ; |Subkey => "SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer"

004012C3 |. 68 02000080 PUSH 80000002 ; |hKey = HKEY_LOCAL_MACHINE

004012C8 |. E8 5B220100 CALL <JMP.&ADVAPI32.RegOpenKeyExA> ; \RegOpenKeyExA

004012D1 |. 6A 00 PUSH 0 ; /pDisposition = NULL

004012D3 |. 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4] ; |

004012D6 |. 52 PUSH EDX ; |pHandle = 0012F8B0

004012D7 |. 6A 00 PUSH 0 ; |pSecurity = NULL

004012D9 |. 68 3F000F00 PUSH 0F003F ; |Access = KEY_ALL_ACCESS

004012DE |. 6A 00 PUSH 0 ; |Options = REG_OPTION_NON_VOLATILE

004012E0 |. 6A 00 PUSH 0 ; |Class = NULL

004012E2 |. 6A 00 PUSH 0 ; |Reserved = 0

004012E4 |. 53 PUSH EBX ; |Subkey => "SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer"

004012E5 |. 68 02000080 PUSH 80000002 ; |hKey = HKEY_LOCAL_MACHINE

004012EA |. E8 33220100 CALL <JMP.&ADVAPI32.RegCreateKeyExA> ; \RegCreateKeyExA

004012D1 |. 6A 00 PUSH 0 ; /pDisposition = NULL

004012D3 |. 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4] ; |

004012D6 |. 52 PUSH EDX ; |pHandle = 0012F8B0

004012D7 |. 6A 00 PUSH 0 ; |pSecurity = NULL

004012D9 |. 68 3F000F00 PUSH 0F003F ; |Access = KEY_ALL_ACCESS

004012DE |. 6A 00 PUSH 0 ; |Options = REG_OPTION_NON_VOLATILE

004012E0 |. 6A 00 PUSH 0 ; |Class = NULL

004012E2 |. 6A 00 PUSH 0 ; |Reserved = 0

004012E4 |. 53 PUSH EBX ; |Subkey => "SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer"

004012E5 |. 68 02000080 PUSH 80000002 ; |hKey = HKEY_LOCAL_MACHINE

004012EA |. E8 33220100 CALL <JMP.&ADVAPI32.RegCreateKeyExA> ; \RegCreateKeyExA

共2页。 1 2 :

本文关键词：

网友评论

邮件订阅

专家答疑

2008-06-30 09:07专家答疑：如何购买防火墙
2008-02-28 15:29实例：Linux中如何查看服务及监听端口
2008-02-19 10:47如何实现路由器线路负载均衡
2008-02-19 08:34如何加固赛门铁克数据库安全管理策略
2008-01-25 09:37专家答疑：修复Linux操作系统Root密码
2008-01-03 10:14如何保证VoIP通讯更安全？
2007-12-28 08:56如何依靠思科ASA设备构建安全VPN网络
2007-11-20 14:35专家支招：企业加密应该注意哪些问题
2007-11-02 13:07口令并非免费：口令的隐性成本
2007-10-23 11:34安全知识 ARP如何在网络中进行数据传输

白皮书

2008-08-20 10:17新疆新联运物流集团多点互联VPN组网案例
2008-08-19 00:00XSS攻击防御技术白皮书
2008-08-15 11:08立足萨班斯(SOX)法案的系列安全解决方案
2008-08-15 10:54内网安全管理系统在医疗行业的应用
2008-08-14 17:48陕西地税打造全套网络管理解决方案
2008-08-12 09:54企业移动设备安全解决之道
2008-08-12 08:59使用SMC管理Solaris 10服务器日志
2008-08-11 09:12案例：北京市发改委解决互联网管理三难题
2008-08-07 10:56Hillstone安全网关蜗牛电子应用实例
2008-08-07 10:42商务酒店：绿色上网正当时

CTOCIO IT专家网

您现在的位置： IT专家网 > 安全子站 > 评论分析

Worm.Win32.Agent.t蠕虫样本分析

Worm.Win32.Agent.t蠕虫病毒运行后,衍生病毒副本到系统目录下,修改注册表实现自启动,连接网络获取病毒更新地址以下载病毒体到本机运行……

最新评论

网友评论

相关文章

最新文章

邮件订阅

专家答疑

白皮书

Webcast

BBS

该文章的读者还阅读了

Whatis