[ 登录 ][ 注册 ] 天极传媒: 比特网 | 天极网 | IT专家网 | IT商网 | 52PK游戏网 | 手机天极 | IT分众 |
热门推荐   Web安全 | 安全网关 | 数据安全防护 | 安全审计 | 安全运维 | 病毒/木马 | IPS应用防火墙
您现在的位置: IT专家网 > 安全子站 > 评论分析

Worm.Win32.Agent.t蠕虫样本分析

作者: 奚振弟,  出处:IT专家网, 责任编辑: 张帅, 
2007-12-12 13:06
  Worm.Win32.Agent.t蠕虫病毒运行后,衍生病毒副本到系统目录下,修改注册表实现自启动,连接网络获取病毒更新地址以下载病毒体到本机运行……

  病毒名称: Worm.Win32.Agent.t

  病毒类型: 蠕虫类

  文件 MD5: C4BFC29229607CBEA877CBC40EB5D098

  文件长度: 脱壳前52,736 字节,脱壳后145,920 字节

  感染系统: Windows98以上版本

  开发工具: Borland C++ 1999

  加壳类型: PECompact 2.x -> Jeremy Collake

  命名对照: 趋势[TROJ_DELF.JIP]SOPHOS[Mal/Behav-097]

  NOD32[a variant of Win32/Agent.NAU worm]IKARUS[Worm.Win32.Agent.t]

  AVG[Agent.FTJ]AVAST[Win32:Delf-DTM [Wrm]]

  病毒描述

  该病毒运行后,衍生病毒副本到系统多个目录下,添加注册表多处自启动项以跟随系统引导病毒体。连接网络获取病毒更新地址以下载病毒体到本机运行。下载的病毒程序包含后门程序、蠕虫程序、木马程序等。修改注册表相关键值,以隐藏病毒体,搜索除C以外的d-z个逻辑驱动器,在其根目录下衍生自动运行文件及病毒副本,当用户双击盘符时,即激活病毒体。病毒衍生的程序会下载其它病毒,从而造成连锁反应,严重情况下,可造成用户down机.

  行为分析

  1、病毒衍生文件

  %WinDir%\病毒副本.exe

  %WinDir%\112.exe 20,480 字节

  %WinDir%\121.exe 25,088 字节

  %WinDir%\123.exe 22,993 字节

  %WinDir%\444.exe 234,496 字节

  %WinDir%\817.exe 143,360 字节

  %WinDir%\concmd.dll 4,096 字节

  %WinDir%\netcom.dll 237 字节

  %System32%\449.exe 13,878 字节

  %WinDir%\Temp\~myC.tmp 176,128 字节

  %System32%\dirvers\2dfgbu9.sys 17,664 字节

  %System32%\dirvers\acpidisk.sys 199,268 字节

  %System32%\dirvers\mjaife1jj.sys 20,352 字节

  %Documents and Settings%\当前用户名\LOCALS~1\Temp\install.exe

  2、病毒删除的注册表项:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSConfig

  Value: String: "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

  3、病毒修改的注册表项:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
  New: String: "C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\病毒副本名.exe"
  Old: String: "C:\WINDOWS\system32\userinit.exe,"
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
  New: DWORD: 0 (0)
  Old: DWORD: 1 (0x1)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
  New: String: "C:\Documents and Settings\当前用户名\Local Settings\Temporary Internet Files"
  Old: String: "C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files"
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
  New: String: "C:\Documents and Settings\当前用户名\Cookies"
  Old: String: "C:\WINDOWS\system32\config\systemprofile\Cookies"
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History
  New: String: "C:\Documents and Settings\当前用户名\Local Settings\History"
  Old: String: "C:\WINDOWS\system32\config\systemprofile\Local Settings\History"

  4、病毒添加的注册表:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\Description
  Value: String: "Network Connections Management"
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\DisplayName
  Value: String: "Windows Accounts Driver"
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\windows_0\ImagePath
  Value: Type: REG_EXPAND_SZ Length: 28 (0x1c) bytes
  C:\WINDOWS\System32\449.exe.
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mjaife1jj\DisplayName
  Value: String: "mjaife1jj"
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mjaife1jj\ImagePath
  Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes
  C:\WINDOWS\System32\drivers\mjaife1jj.sys.
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acpidisk\DisplayName
  Value: String: "acpidisk"
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acpidisk\ImagePath
  Value: Type: REG_EXPAND_SZ Length: 45 (0x2d) bytes
  C:\WINDOWS\System32\drivers\acpidisk.sys.
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\2dfgbu9\DisplayName
  Value: Non-ASCII string:
  2dfgbu9System Bus Extender.
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acpidisk\ImagePath
  Value: Type: REG_EXPAND_SZ Length: 45 (0x2d) bytes
  C:\WINDOWS\System32\drivers\2dfgbu9.sys.
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSetup
  Value: String: "C:\DOCUME~1\当前用户名\LOCALS~1\Temp\install.exe"

  5、连接网络下载病毒体:

  病毒更新地址及内容:

      cha.onniro.cn(221.8.74.167)/text/a853.txt
  http://www.qqxinfeng.cn/svchost.exe
  http://www.51xst.com/haohao.exe
  http://huimie.xicp.net/qqqyyy.exe
  http://www.jzmir2.com(61.176.195.106)/m/xy.exe
  http://www.48du.com(221.8.74.167)/rar/my_70136.rar
  http://qqqyyy2.3322.org(218.61.18.34)/Server.exe
  http://www.ad9988.com(218.61.18.34)/qqqyyy.exe
  http://www.48du.com(221.8.74.167)/rar/socvher.rar
  http://www.48du.com/rar/my_70136.rar
  http://www.tuding.net(222.169.224.76)/ad/bd2.rar
  http://www.tuding.net(222.169.224.76)/ad/bd4.rar
  http://www.tuding.net(222.169.224.76)/ad/bd6.rar
  http://www.tuding.net(222.169.224.76)/ad/bd8.rar

  代码分析

      创建互斥体

//创建互斥体
00401F8A  |.  68 A3454100   PUSH 1111.004145A3      ; /MutexName = "sfaee5353g#2007"       //互斥体名字
00401F8F  |.  6A 00               PUSH 0                             ; |InitialOwner = FALSE                                 //判断结果
00401F91  |.  6A 00               PUSH 0                             ; |pSecurity = NULL 
00401F93  |.  E8 BC150100   CALL <JMP.&kernel32.CreateMutexA>        ; \CreateMutexA            //调用API创建

      创建注册表键值

//创建注册表键值
004012B1  |.  53            PUSH EBX
004012B2  |.  BB 864A4100   MOV EBX,1111.00414A86     ;  software\microsoft\windows\currentversion\policies\explorer
004012B7  |.  8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]
004012BA  |.  50            PUSH EAX                                 ; /pHandle
004012BB  |.  68 06000200   PUSH 20006                               ; |Access = KEY_WRITE
004012C0  |.  6A 00         PUSH 0                                   ; |Reserved = 0
004012C2  |.  53            PUSH EBX                                 ; |Subkey => "SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer"
004012C3  |.  68 02000080   PUSH 80000002                            ; |hKey = HKEY_LOCAL_MACHINE
004012C8  |.  E8 5B220100   CALL <JMP.&ADVAPI32.RegOpenKeyExA>       ; \RegOpenKeyExA
 
004012D1  |.  6A 00         PUSH 0                                   ; /pDisposition = NULL
004012D3  |.  8D55 FC       LEA EDX,DWORD PTR SS:[EBP-4]             ; |
004012D6  |.  52            PUSH EDX                                 ; |pHandle = 0012F8B0
004012D7  |.  6A 00         PUSH 0                                   ; |pSecurity = NULL
004012D9  |.  68 3F000F00   PUSH 0F003F                              ; |Access = KEY_ALL_ACCESS
004012DE  |.  6A 00         PUSH 0                                   ; |Options = REG_OPTION_NON_VOLATILE
004012E0  |.  6A 00         PUSH 0                                   ; |Class = NULL
004012E2  |.  6A 00         PUSH 0                                   ; |Reserved = 0
004012E4  |.  53            PUSH EBX                                 ; |Subkey => "SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer"
004012E5  |.  68 02000080   PUSH 80000002               ; |hKey = HKEY_LOCAL_MACHINE
004012EA  |.  E8 33220100   CALL <JMP.&ADVAPI32.RegCreateKeyExA>     ; \RegCreateKeyExA
 
 
004012D1  |.  6A 00         PUSH 0                                   ; /pDisposition = NULL
004012D3  |.  8D55 FC       LEA EDX,DWORD PTR SS:[EBP-4]             ; |
004012D6  |.  52            PUSH EDX                                 ; |pHandle = 0012F8B0
004012D7  |.  6A 00         PUSH 0                                   ; |pSecurity = NULL
004012D9  |.  68 3F000F00   PUSH 0F003F                              ; |Access = KEY_ALL_ACCESS
004012DE  |.  6A 00         PUSH 0                                   ; |Options = REG_OPTION_NON_VOLATILE
004012E0  |.  6A 00         PUSH 0                                   ; |Class = NULL
004012E2  |.  6A 00         PUSH 0                                   ; |Reserved = 0
004012E4  |.  53            PUSH EBX                                 ; |Subkey => "SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer"
004012E5  |.  68 02000080   PUSH 80000002                            ; |hKey = HKEY_LOCAL_MACHINE
004012EA  |.  E8 33220100   CALL <JMP.&ADVAPI32.RegCreateKeyExA>     ; \RegCreateKeyExA
共2页。 1 2 :
  • 本文关键词:

网友评论

笔名 
请您注意:遵守国家有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。    IT专家网友拥有管理笔名和留言的一切权利。

相关文章

最新文章

邮件订阅


该文章的读者还阅读了

  • 热门排行

  • 奥运嘉年华

热点专题

社区

    • 解析Windows密码安全问题(第三部分)评论
      在前两部分文章中,我们讨论了Windows密码政策的问题以及它是如何在Active Directory环境被控制等问题,大家应该还记得在默认情况下密码政策和相关的设置位于默认域策略中(Default Domain Policy)。另外同样探讨了可以使用哪些技术破获windows密码,以及每种攻击方式的限制问题。那么,在本文中,我们将讨论如何让windows密码变得更加安全,以及如何能够解决在前两部分文章中出现的所有问题。本文将涉及Windows2002/2003/2008Active Directory默认安装带来的可能性以及其他能够整体提高密码安全的技术。
    • IDC创新和安全白皮书:合作或竞争评论
      业务创新是业务发展战略非常重要的一部分,并而日益成为公司保持竞争优势的决定性因素。由于创新的战略重要性,导致了我们越来越关注信息安全机制在抑制甚至扼杀业务创新方面起到的作用。IDC认为公司不仅是需要找到业务创新和有可能扼杀这种创新的信息安全机制,而且需要在这两者之间找到一个简洁的平衡来满足自己的业务需求。成功的企业能够在商业竞争中占有优势,是因为他们懂得去合理的利用两者使之成为一种具有杠杆作用的机制,而其它的企业只是单单强调其中的一个。
    • 预防企业数据丢失的6种最佳实践评论
      根据“私有权清算中心”(一家非赢利性消费者信息和倡导组织)的统计,自2005年1月以来,有将近2200万条记录遭到破坏。数据失窃和丢失案件数量惊人,这不仅是因为安全入侵事件正在以惊人的速度持续增长,数据丢失引发的财产损失事件也同样在飞速增加。根据美国政府的估计,所谓的“企业数据丢失”在去年使商业界损失了近1050亿美元。根据波尼蒙研究所(Ponemon Institute)的统计,仅仅内部人士导致的数据受损一项,每年给商业界造成的损失为平均每家公司3-4百万美元。产业分析公司Gartner集团估计,恢复数据的开销可以达到每条破坏记录150美元之高——这一数字还没有包括重拾客户信任和重建品牌价值、可能的罚款以及法律诉讼代理费的资金投入。在企业数据丢失案件有增无减的同时,公司也正在不断搜集更多数据,以求优化商业流程,改善客户服务,以及提升与合作伙伴的关系。更多的数据转化为相关数据在整个企业中数量不断增多的信息系统之间更广泛的传播。其结果就是——随着公司内外越来越多的用户获得接入系统的权限,敏感数据遭到破坏的风险也在不断增大。
    • RSA白皮书:管理银行的信息风险评论
      信息是银行的基础,但直到现在,金融机构还往往满足于以业务封闭式的方式管理风险。然而,行业的压力促使银行开始对这种战略展开思考。

Whatis

天极服务 | 关于我们 | About us | 网站律师 | 加入我们 | 联系我们 | 广告业务 | 友情链接 | 网站地图
All Rights Reserved, Copyright 2004-2009, Ctocio.com.cn
渝ICP证B2-20030003号 如有意见请与我们联系 powered by 天极内容管理平台CMS4i