木马Clicker.Win32.Agent.av样本分析

病毒标签：

　　病毒名称： Trojan-Clicker.Win32.Agent.av

　　中文名称： 点击虫

　　病毒类型： 木马类

　　文件MD5： 8E95DDFC465f04EB94A225EFFF903C8A

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 脱壳前28,809 字节脱壳后122,880 字节

　　感染系统： Win98以上版本

　　开发工具： Borland Delphi 6.0 - 7.0

　　加壳类型： FSG 2.0 -> bart/xt

　　病毒描述：

　　该病毒运行后，衍生病毒文件到系统多个目录下，添加注册表自动运行项以跟随系统引导病毒体。病毒体修改用户主页设置，遍历磁盘所有html文件，并插入恶意语句，以达到使用户主动连接指定网址的目的。病毒通过在所有驱动器根目录下创建自动运行文件及其副本传播自身。

　　行为分析：

　　本地行为：

　　1、文件运行后会释放以下文件：

      %DriveLetter%\autorun.inf
　　%DriveLetter%\niu.exe
　　%System32%\Autorun.inf
　　%System32%\crsss.exe
　　%System32%\d.txt
　　%System32%\test1.txt

　　2、新增注册表：

    HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\

　　新键值：字串:HomePage

　　类型: DWORD

　　值： "1 (0x1"

　　描述:用以禁用"IE属性"=>"常规"=>"主页设置"

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　新键值：crsss

　　类型: REG_SZ

　　值：: C:\WINDOWS\System32\crsss.exe

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate

　　类型:：REG_DWORD

　　新键值：字串: "DisableWindowsUpdateAcces

　　值：01, 00, 00, 00

　　描述：关闭Windows自动更新

　　3、修改注册表：

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

　　新键值：字串：" DWORD: 0 (0x0)"

　　原键值：字串：" DWORD: 1 (0x1)"

　　描述：用以去掉"文件夹选项"中"显示所有文件和文件夹"项

   HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

　　原键值：字串：" about:blank"

　　新键值：字串："http://dhz.810***.org.

　　描述：修改用户主页

　　4、遍历磁盘所有html文件，插入下列恶意语句：

    <IfrAmE src=http://www.810***.org width=0 height=0></IfrAmE>
 

　　5、病毒运行后，创建自删除bat文件删除自身。

　　网络行为：

　　1、主动连接下列地址：

      htttp://60.191.196.**/index.txt
　　http://www.810***.org/index2.txt
　　http://www.hao***.com
　　http://www.810***.org/index.txt
　　www.810***.org(58.221.254.**) Host: dhz.810***.org/

　　注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。

      %Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　%Documents and Settings% 　　　当前用户文档根目录
　　%Temp% 　　　　　\Documents and Settings\当前用户\Local Settings\Temp
　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　windows95/98/me中默认的安装路径是C:\Windows\System
　　windowsXP中默认的安装路径是C:\Windows\System32

　　清除方案：

　　1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

　　2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

　　(1)使用安天木马防线“进程管理”关闭病毒进程：

　　%System32%\crsss.exe

　　(2)删除病毒文件：

      %DriveLetter%\autorun.inf
　　%DriveLetter%\niu.exe
　　%System32%\Autorun.inf
　　%System32%\crsss.exe
　　%System32%\d.txt
　　%System32%\test1.txt

　　(3)恢复病毒修改的注册表项目，删除病毒添加的注册表项。

标签： 网络 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。