请输入您要查询的百科知识:

 

词条 Trojan/Win32.Agent.acfe [Dropper]
释义

该病毒为热血传奇盗号木马,病毒运行后,遍历进程查找"alien32.exe",如找到则强行结束该进程,拷贝自身文件到%system32%目录下,重命名为:alien32.exe,获取NTDLL.DLL文件时间,将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间,调用API函数创建%system32%目录下病毒进程,病毒运行完后删除自身。

病毒标签:

病毒名称: Trojan/Win32.Agent.acfe [Dropper]

病毒类型: 盗号木马

文件 MD5: A5AFDCDA7CD029074A913CF08B927CE5

公开范围: 完全公开

危害等级: 4

文件长度: 40,303 字节

感染系统: Windows98以上版本

开发工具: Microsoft Visual C++ 6.0

加壳类型: NsPacK V3.7 -> LiuXingPing *

病毒描述:

该病毒为热血传奇盗号木马,病毒运行后,遍历进程查找"alien32.exe",如找到则强行结束该进程,拷贝自身文件到%system32%目录下,重命名为:alien32.exe,获取NTDLL.DLL文件时间,将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间,调用API函数创建%system32%目录下病毒进程,病毒运行完后删除自身,alien32.exe病毒文件运行后查找类名为"SHRTMIR"的窗体,衍生DLL病毒文件到%system32%目录下,动态加载病毒DLL文件、获取病毒DLL基础,并调用病毒DLL,枚举内核模块名"ntkrnlpa.exe"并加载该进程,创建病毒驱动文件到%system32%\\Drivers目录下,并打开病毒服务,等待加载完毕后、删除病毒驱动文件,添加注册表RUN启动项,遍历进程查找360tray.exe进程、找到后强行结束该进程,遍历进程查找explorer.exe进程、找到后调用内核函数获取该进程句柄、修改进程的访问令牌,申请内存空间、将病毒DLL写到explorer.exe与svchost.exe进程中,并创建一个线程。DLL文件主要行为:查找类名"SAS Window class"的窗体,并向该窗体发送错误消息,查找游戏类名"TFrmMain"名称为“传奇加载”的窗体,找到后调用函数向该窗体发送消息,检测包含病毒预定的文字控件按钮、如匹配成功则删除该窗体的安全检测控件,使游戏安全检测项失效、以到达截取游戏帐户密码目的,通过URL方式发送到作者指定的地址中。

行为分析-本地行为:

1、遍历进程查找"alien32.exe",如找到则调用TerminateProcess函数强行结束该进程,获取该NTDLL.DLL文件时间,将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间,查找类名为"SHRTMIR"的窗体,找到之后衍生DLL病毒文件到%system32%目录下,动态加载病毒DLL文件、获取病毒DLL基础,并调用病毒DLL,枚举内核模块名"ntkrnlpa.exe"并加载该进程。

2、文件运行后会释放以下文件

%system32%\\drivers\\aliimz.sys

%system32%\\dllcache\\alitte32.exe

%system32%\\dllcache\\ali4a10f.dll

3、添加注册表启动项、创建病毒服务

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run\wiz

值: 字符串: "alien32.exe"

描述:添加注册表病毒启动病毒

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\aliimz\\ImagePath

值: 字符串:"System32\\Drivers\\aliimz.sys."

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\aliimz\\Start

值: DWORD: 3 (0x3)

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\aliimz\\Type

值: DWORD: 1 (0x1)

描述:创建注册表病毒服务项

4、遍历进程查找360tray.exe进程、找到后强行结束该进程,遍历进程查找explorer.exe进程、找到后调用内核函数获取该进程句柄、修改进程的访问令牌,申请内存空间、利用API函数WriteProcessMemory将病毒DLL写到explorer.exe与svchost.exe进程中,并创建一个线程。

5、DLL文件主要行为:调用API函数FindWindowA查找类名"SAS Window class"的窗体,并向该窗体发送错误消息,查找游戏类名"TFrmMain"名称为"传奇加载"的窗体,找到后调用函数向该窗体发送消息,检测包含病毒预定的文字控件按钮、如匹配成功则删除该窗体的安全检测控件,使游戏安全检测项失效、以到达截取游戏帐户密码目的。

删除包含以下文件的控件按钮:

提示:为保护帐号安全,\\请您验证帐号身份信息。

提示:反外挂测试中,请输入动态密宝。

行为分析-网络行为:

协议:TCP

端口:80

描述:连接域名发送游戏账户到病毒作者接收地址中,回传格式为:

tid=%s&nid=%s&id=%s&p=%s&a=%s&sv=%s&j1=%s.%s(%d)&j2=%s.%s(%d)&pn=%s&sys=%s&yb=%d&lf

=%d&jgs=%d&mv=%d&mb=%d&sgn=%d&zb=%s

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% WINDODWS所在目录

%DriveLetter% 逻辑驱动器根目录

%ProgramFiles% 系统程序默认安装目录

%HomeDrive% 当前启动的系统的所在分区

%Documents and Settings% 当前用户文档根目录

%Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp

%System32% 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\\Winnt\\System32

windows95/98/me中默认的安装路径是%WINDOWS%\\System

windowsXP中默认的安装路径是%system32%

清除方案:

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1)使用ATOOL管理工具,“进程管理”查找explorer.exe与svchost.exe进程中的病毒模块名"ali4ee25.dll",找到该病毒模块强行结束。

(2) 强行删除病毒文件

%system32%\\dllcache\\alitte32.exe

%system32%\\dllcache\\ali4a10f.dll

(3)恢复注册表下项、删除病毒启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run\wiz

删除Run键下的nwiz键值

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\aliimz

删除Services键下的aliimz主键值

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 21:30:15