Worm.Win32.Agent.vq(auto.exe)的分析

样本文件:auto.exe
大小:12,449 字节
传播方式:U盘
病毒类型:蠕虫下载者
病毒名称:Worm.Win32.Agent.vq
MD5: 10270FEC237B68DD386D95654E43D76F
加壳软件:Upack V0.37 -> Dwing

1,auto运行后首先打开所在盘,如C:\
释放文件:
C:\WINDOWS\system32\88199DC.EXE  Worm.Win32.Agent.zjg  
C:\WINDOWS\system32\explorer.exe   Worm.Win32.Agent.vq  
C:\WINDOWS\system32\F385D020.DLL  Worm.Win32.Autorun.isu
C:\WINDOWS\system32\hh.exe
c:\auto.exe  Backdoor.Win32.Agent.ckn  
c:\autorun.inf
2,添加服务启动
HKLM\SYSTEM\CurrentControlSet\Services\82C7251C
ImagePath:C:\WINDOWS\system32\88199DC.EXE -k
3,添加Winlogon启动:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: c:\windows\system32\userinit.exe,,explorer.exe
位于sysytem32下的explorer.exe为病毒程序,正常的位于windows下
4,启动C:\WINDOWS\system32\hh.exe,盗Q程序
点击放大图片

5,删除错误报告服务
Error Reporting Service:HKLM\SYSTEM\CurrentControlSet\Services\ERSvc\
6,把C:\WINDOWS\system32\F385D020.DLL 注入每一个运行中的exe,dll是整个病毒的控制中心,检测到就复制auto.exe和autorun.inf到U盘;一旦发现根目录下的auto.exe被删除,马上释放一个C:\WINDOWS\system32\n1203831355k.exe,然后剪切到被删除的根目录,改名为auto.exe
7,具备自动更新的功能,访问http://nx.51ylb.cn/soft/update.txt(222.73.26.9 海市 电信IDC机房)查看是否更新。
内容:
程序代码 程序代码
[update] ver=2008010509 url=http://nx.51ylb.cn/soft/soft/e47e57844ef30ab4.exe
updatetimer=180 [startpage] startpage=0 url=sssssssssssssssssss [desktop] desktop=0
count=1 title1=免费网络电话
url1=http://skype.tom.com/download/archive/01400974/SkypeClient.exe [file] [count]
count=0 mecount=0 url=http://nx.51ylb.cn/soft/count/count.asp

首先核对版本,如果是旧版的就下载e47e57844ef30ab4.exe 执行更新。count.asp就是统计中马的了。下载skype应当是赚电话费吧。

清除办法:
1,打开费尔木马清理助手,复制下列文件
C:\WINDOWS\system32\88199DC.EXE
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\system32\F385D020.DLL
C:\WINDOWS\system32\hh.exe
X:\auto.exe
X:\autorun.inf
X代表分区盘符。选择第二项,抑制清除。
2,打开autoruns.exe-全部启动项-,
删除HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit:
explorer.exe        c:\windows\system32\explorer.exe    
删除HKLM\System\CurrentControlSet\Services            
82C7251C        c:\windows\system32\88199dc.exe
3,重启,杀软全盘扫描

Worm.Win32.Agent.vq(auto.exe)样本.rar下载链接:
[url=http://www.rayfile.com/zh-cn/files/6a654c59-e2a5-11dc-ac18-0014221f4662/]点击放大图片[/url]


附:
下载文件 点击下载金刀客工具包  (含本文中涉及的所有工具)

   病毒上报信箱: daokers@qq.com


以下说明属本文之一部分:
转载请保持完整并注明:转自 金刀客[www.daokers.com]


[本日志由 admin 于 2009-05-31 10:50 AM 编辑]
相关日志:
在线RSS阅读器订阅:
feedsky
抓虾 pageflakes Rojo google reader
my yahoo newsgator bloglines 有道
鲜果 飞豆 哪吒 Netvibes
Netvibes Netvibes

手机订阅:


本站订阅地址:
RSS2:点击复制
Atom:点击复制
        本站所有原创文章均遵循 [创作共用协议]
        本站原创文章可以转载,但须保持完整性并注明出处。
        COPYRIGHT 2008-2010  §  HTTP://WWW.DAOKERS.COM  §    ALL RIGHTS
评论: 0 | 引用: 0 | 查看次数: -
发表评论
昵 称:
密 码: 游客发言不需要密码.
验证码: 验证码提示:单击自动获取验证码
内 容:
最多可输入,当前共,还可输入
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.