病毒相关分析
超级巡警团队监测到恶意程序Backdoor.Win32.Agent.ulw正在传播,该病毒为后门类病毒;运行后关闭指定的系统服务;释放%Temp%\dll781.dll(781是与病毒运行时间相关的随机数字),加载该dll创建%Windir%\System32\Nskhelper2.sys;创建远程线程,连接网络下载大量病毒文件;映像劫持大量安全软件;修改host文件,屏蔽大量安全网站;替换系统服务实现自启动,在每个磁盘下生成autorun.inf和system.dll;在系统目录下释放许多驱动文件等;超级巡警建议广大用户使用超级巡警保险箱保护各种账号,并提醒广大用户及时更新病毒库,以便对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Backdoor.Win32.Agent.ulw
病毒别名:
病毒类型:后门
危害级别:5
感染平台:Windows
病毒大小:30,720 字节
S H A 1 :d73ac3161d2f0b5ace8217bc83744aa6cfd4d7f9
加壳类型:UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo
开发工具:Borland Delphi 3.0 (???) *
病毒行为:
1、遍历进程,检测是否存在以下调试器或分析工具,若存在,则病毒退出。
OllyDbg.exe、OllyICE.exe、PEditor.exe、LordPE.exe、C32Asm.exe、ImportREC.exe
2、释放释放%Temp%\dll781.dll(781是与病毒运行时间相关的随机数字),并加载该dll创建%Windir%\System32\Nskhelper2.sys。恢复SSDT过杀毒软件的主动防御,关闭指定杀毒软件进程。
3、通过以下方式,实现自启动:
在各个磁盘根目录下创建病毒文件system.dll和autorun.inf文件;
感染以下系统服务实现自启动:
%Windir%\System32\appmgmts.dll
%Windir%\System32\schedsvc.dll
%Windir%\System32\srsvc.dll
%Windir%\System32\w32time.dll
%Windir%\System32\wiaservc.dll
4、释放以下文件:
%Windir%\System32\appwinproc.dll
%DriveLetter%\system.dll
%DriveLetter%\autorun.inf
%Windir%\System32\NsPass0.sys
%Windir%\System32\NsPass1.sys
%Windir%\System32\NsPass2.sys
%Windir%\System32\NsPass3.sys
%Windir%\System32\NsPass4.sys
5、感染以下系统dll文件,启动相应系统服务:
%Windir%\System32\appmgmts.dll
%Windir%\System32\schedsvc.dll
%Windir%\System32\srsvc.dll
%Windir%\System32\w32time.dll
%Windir%\System32\wiaservc.dll
Schedule、AppMgmt、srservice、W32Time、stisvc
对应的服务名称是:
Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
6、检测以下指定安全软件窗体,发现就关闭:
卡巴斯基、NOD32、超级巡警、机器狗、下载者、专杀、木马、杀毒、江民、奇虎、360安全卫士、瑞星、金山毒霸
7、检测当前的系统时间,如果年份大于2008年则退出执行。
网友评论