词条 | Trojan/Win32.Agent.acfe [Dropper] |
释义 | 该病毒为热血传奇盗号木马,病毒运行后,遍历进程查找"alien32.exe",如找到则强行结束该进程,拷贝自身文件到%system32%目录下,重命名为:alien32.exe,获取NTDLL.DLL文件时间,将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间,调用API函数创建%system32%目录下病毒进程,病毒运行完后删除自身。 病毒标签:病毒名称: Trojan/Win32.Agent.acfe [Dropper] 病毒类型: 盗号木马 文件 MD5: A5AFDCDA7CD029074A913CF08B927CE5 公开范围: 完全公开 危害等级: 4 文件长度: 40,303 字节 感染系统: Windows98以上版本 开发工具: Microsoft Visual C++ 6.0 加壳类型: NsPacK V3.7 -> LiuXingPing * 病毒描述:该病毒为热血传奇盗号木马,病毒运行后,遍历进程查找"alien32.exe",如找到则强行结束该进程,拷贝自身文件到%system32%目录下,重命名为:alien32.exe,获取NTDLL.DLL文件时间,将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间,调用API函数创建%system32%目录下病毒进程,病毒运行完后删除自身,alien32.exe病毒文件运行后查找类名为"SHRTMIR"的窗体,衍生DLL病毒文件到%system32%目录下,动态加载病毒DLL文件、获取病毒DLL基础,并调用病毒DLL,枚举内核模块名"ntkrnlpa.exe"并加载该进程,创建病毒驱动文件到%system32%\\Drivers目录下,并打开病毒服务,等待加载完毕后、删除病毒驱动文件,添加注册表RUN启动项,遍历进程查找360tray.exe进程、找到后强行结束该进程,遍历进程查找explorer.exe进程、找到后调用内核函数获取该进程句柄、修改进程的访问令牌,申请内存空间、将病毒DLL写到explorer.exe与svchost.exe进程中,并创建一个线程。DLL文件主要行为:查找类名"SAS Window class"的窗体,并向该窗体发送错误消息,查找游戏类名"TFrmMain"名称为“传奇加载”的窗体,找到后调用函数向该窗体发送消息,检测包含病毒预定的文字控件按钮、如匹配成功则删除该窗体的安全检测控件,使游戏安全检测项失效、以到达截取游戏帐户密码目的,通过URL方式发送到作者指定的地址中。 行为分析-本地行为:1、遍历进程查找"alien32.exe",如找到则调用TerminateProcess函数强行结束该进程,获取该NTDLL.DLL文件时间,将衍生的病毒文件创建时间设置为获取的NTDLL.DLL文件的时间,查找类名为"SHRTMIR"的窗体,找到之后衍生DLL病毒文件到%system32%目录下,动态加载病毒DLL文件、获取病毒DLL基础,并调用病毒DLL,枚举内核模块名"ntkrnlpa.exe"并加载该进程。 2、文件运行后会释放以下文件 %system32%\\drivers\\aliimz.sys %system32%\\dllcache\\alitte32.exe %system32%\\dllcache\\ali4a10f.dll 3、添加注册表启动项、创建病毒服务 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run\wiz 值: 字符串: "alien32.exe" 描述:添加注册表病毒启动病毒 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\aliimz\\ImagePath 值: 字符串:"System32\\Drivers\\aliimz.sys." HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\aliimz\\Start 值: DWORD: 3 (0x3) HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\aliimz\\Type 值: DWORD: 1 (0x1) 描述:创建注册表病毒服务项 4、遍历进程查找360tray.exe进程、找到后强行结束该进程,遍历进程查找explorer.exe进程、找到后调用内核函数获取该进程句柄、修改进程的访问令牌,申请内存空间、利用API函数WriteProcessMemory将病毒DLL写到explorer.exe与svchost.exe进程中,并创建一个线程。 5、DLL文件主要行为:调用API函数FindWindowA查找类名"SAS Window class"的窗体,并向该窗体发送错误消息,查找游戏类名"TFrmMain"名称为"传奇加载"的窗体,找到后调用函数向该窗体发送消息,检测包含病毒预定的文字控件按钮、如匹配成功则删除该窗体的安全检测控件,使游戏安全检测项失效、以到达截取游戏帐户密码目的。 删除包含以下文件的控件按钮: 提示:为保护帐号安全,\\请您验证帐号身份信息。 提示:反外挂测试中,请输入动态密宝。 行为分析-网络行为:协议:TCP 端口:80 描述:连接域名发送游戏账户到病毒作者接收地址中,回传格式为: tid=%s&nid=%s&id=%s&p=%s&a=%s&sv=%s&j1=%s.%s(%d)&j2=%s.%s(%d)&pn=%s&sys=%s&yb=%d&lf =%d&jgs=%d&mv=%d&mb=%d&sgn=%d&zb=%s 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \\Documents and Settings\\当前用户\\Local Settings\\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32 windows95/98/me中默认的安装路径是%WINDOWS%\\System windowsXP中默认的安装路径是%system32% 清除方案:1、使用安天防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1)使用ATOOL管理工具,“进程管理”查找explorer.exe与svchost.exe进程中的病毒模块名"ali4ee25.dll",找到该病毒模块强行结束。 (2) 强行删除病毒文件 %system32%\\dllcache\\alitte32.exe %system32%\\dllcache\\ali4a10f.dll (3)恢复注册表下项、删除病毒启动项 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run\wiz 删除Run键下的nwiz键值 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\aliimz 删除Services键下的aliimz主键值 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。