病毒相关分析
超级巡警团队监测到恶意程序Backdoor.Win32.Agent.ulw正在传播,该病毒为后门类病毒;运行后关闭指定的系统服务;释放%Temp%\dll781.dll(781是与病毒运行时间相关的随机数字),加载该dll创建%Windir%\System32\Nskhelper2.sys;创建远程线程,连接网络下载大量病毒文件;映像劫持大量安全软件;修改host文件,屏蔽大量安全网站;替换系统服务实现自启动,在每个磁盘下生成autorun.inf和system.dll;在系统目录下释放许多驱动文件等;超级巡警建议广大用户使用超级巡警保险箱保护各种账号,并提醒广大用户及时更新病毒库,以便对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Backdoor.Win32.Agent.ulw
病毒别名:
病毒类型:后门
危害级别:5
感染平台:Windows
病毒大小:30,720 字节
S H A 1 :d73ac3161d2f0b5ace8217bc83744aa6cfd4d7f9
加壳类型:UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo
开发工具:Borland Delphi 3.0 (???) *
病毒行为:
1、遍历进程,检测是否存在以下调试器或分析工具,若存在,则病毒退出。
OllyDbg.exe、OllyICE.exe、PEditor.exe、LordPE.exe、C32Asm.exe、ImportREC.exe
2、释放释放%Temp%\dll781.dll(781是与病毒运行时间相关的随机数字),并加载该dll创建%Windir%\System32\Nskhelper2.sys。恢复SSDT过杀毒软件的主动防御,关闭指定杀毒软件进程。
3、通过以下方式,实现自启动:
在各个磁盘根目录下创建病毒文件system.dll和autorun.inf文件;
感染以下系统服务实现自启动:
%Windir%\System32\appmgmts.dll
%Windir%\System32\schedsvc.dll
%Windir%\System32\srsvc.dll
%Windir%\System32\w32time.dll
%Windir%\System32\wiaservc.dll
4、释放以下文件:
%Windir%\System32\appwinproc.dll
%DriveLetter%\system.dll
%DriveLetter%\autorun.inf
%Windir%\System32\NsPass0.sys
%Windir%\System32\NsPass1.sys
%Windir%\System32\NsPass2.sys
%Windir%\System32\NsPass3.sys
%Windir%\System32\NsPass4.sys
5、感染以下系统dll文件,启动相应系统服务:
%Windir%\System32\appmgmts.dll
%Windir%\System32\schedsvc.dll
%Windir%\System32\srsvc.dll
%Windir%\System32\w32time.dll
%Windir%\System32\wiaservc.dll
Schedule、AppMgmt、srservice、W32Time、stisvc
对应的服务名称是:
Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
6、检测以下指定安全软件窗体,发现就关闭:
卡巴斯基、NOD32、超级巡警、机器狗、下载者、专杀、木马、杀毒、江民、奇虎、360安全卫士、瑞星、金山毒霸
7、检测当前的系统时间,如果年份大于2008年则退出执行。
修改host文件
8、映像劫持以下文件,导致相应安全软件无法运行:
pccguide.exe、ZONEALARM.exe、zonealarm.exe、wink.exe、windows优化大师.exe、WFINDV32.exe、webtrap.exe、WEBSCANX.EXE、WEBSCAN.EXE、vsstat.exe、VSHWIN32.EXE、VSECOMER.EXE、vpc32.exe、vir.exe、VETTRAY.EXE、VET95.EXE、vavrunr.exe、UlibCfg.exe、TSC.exe、tmupdito.exe、tmproxy.exe、TMOAgent.exe、Tmntsrv.exe、TDS2-NT.exe、TDS2-98.exe、TCA.exe、TBSCAN.exe、symproxysvc.exe、SWEEP95.exe、spy.exe、SPHINX.exe、smtpsvc.exe、SMC.exe、sirc32.exe、SERV95.EXE、secu.exe、SCRSCAN.exe、scon.exe、SCANPM.exe、SCAN32.exe、scan.exe、scam32.exe、safeweb.exe、safeboxTray.exe、rn.exe、Rfw.exe、rescue32.exe、regedit.exe、RavTask.exe、RavStub.exe、RavMonD.exe、RavMon.exe、rav7win.exe、RAV7.exe、ras.exe、pview95.exe、prot.exe、program.exe、PpPpWallRun.exe、pop3trap.exe、PERSFW.exe、PCFWALLICON.exe、pccwin98.exe、pccmain.exe、pcciomon.exe、PCCClient.exe、pcc.exe、PAVCL.exe、PADMIN.exe、OUTPOST.exe、office.exe、NVC95.exe、NUPGRADE.exe、norton.exe、NORMIST.exe、NMAIN.exe、nisum.exe、nisserv.exe、NAVWNT.exe、navwnt.exe、NAVW32.exe、NAVW.exe、NAVSCHED.exe、navrunr.exe、NAVNT.exe、NAVLU32.exe、navapw32.exe、navapsvc.exe、N32ACAN.exe、ms.exe、MPFTRAY.exe、MOOLIVE.exe、moniker.exe、mon.exe、microsoft.exe、mcafee.exe、LUCOMSERVER.exe、luall.exe、LOOKOUT.exe、lockdown2000.exe、lamapp.exe、kwatch.exe、KVPreScan.exe、KVMonXP.exe、KRF.exe、KPPMain.exe、kpfwsvc.exe、kpfw32.exe、KPFW32.exe、kissvc.exe、kavstart.exe、kav32.exe、Kasmain.exe、Kabackreport.exe、JED.exe、iomon98.exe、iom.exe、ICSSUPPNT.exe、ICMOON.exe、ICLOADNT.exe、ICLOAD95.exe、IceSword.exe、ice.exe、IBMAVSP.exe、IBMASN.exe、IAMSERV.exe、IAMAPP.exe、F-STOPW.exe、f-stopw.exe、FRW.exe、FP-WIN.exe、fp-win.exe、f-prot95.exe、F-PROT.exe、fir.exe、FINDVIRU.exe、F-AGNT95.exe、explorewclass.exe、ESPWATCH.exe、ESAFE.exe、EFINET32.exe、ECENGINE.exe、DVP95.exe、DV95_O.exe、DV95.exe、debu.exe、dbg.exe、DAVPFW.exe、CLEANER3.exe、CLEANER.exe、CLAW95CT.exe、CLAW95.exe、cfinet32.exe、cfinet.exe、CFIND.exe、CFIAUDIT.exe、CFIADMIN.exe、CCenter.exe、BLACKICE.exe、BLACKD.exe、avxonsol.exe、AVWIN95.exe、avsynmgr.exe、AVSCHED32.exe、AVPUPD.exe、AVKSERV.exe、avk.exe、AVGCTRL.exe、AVE32.exe、AVCONSOL.exe、AUTODOWN.exe、ATRACK.exe、atrack.exe、APVXDWIN.exe、antivir.exe、ANTI-TROJAN.exe、anti.exe、ACKWIN32.exe、360tray.exe、360safebox.exe、360safe.exe
9、修改host文件,屏蔽以下安全网站:
360.qihoo.com
tool.ikaka.com
bbs.sucop.com
virustotal.com
kaspersky.com.cn
union.kingsoft.com
shadu.duba.net
jiangmin.com
dl.jiangmin.com
rising.com.cn
10、下载病毒列表文档,按照病毒列表下载并运行病毒文件:
hxxp://txt.50nb.com/update/count.txt
hxxp://u3.www-pconline.com/**/a4.exe
hxxp://u3.www-pconline.com/**/a1.exe
hxxp://u3.www-pconline.com/**/a3.exe
hxxp://u3.www-pconline.com/**/a10.exe
hxxp://u3.www-pconline.com/**/a40.exe
hxxp://u3.www-pconline.com/**/a41.exe
hxxp://u3.www-pconline.com/**/a25.exe
hxxp://u3.www-pconline.com/**/a13.exe
hxxp://u3.www-pconline.com/**/a36.exe
hxxp://u3.www-pconline.com/**/a9.exe
hxxp://u3.www-pconline.com/**/a52.exe
hxxp://u3.www-pconline.com/**/a23.exe
hxxp://u3.www-pconline.com/**/a51.exe
hxxp://u3.www-pconline.com/**/a32.exe
hxxp://u4.www-pconline.com/**/c2.exe
hxxp://u4.www-pconline.com/**/c1.exe
hxxp://u4.www-pconline.com/**/c7.exe
hxxp://u4.www-pconline.com/**/c4.exe
hxxp://u4.www-pconline.com/**/c6.exe
hxxp://u4.www-pconline.com/**/c8.exe
hxxp://u1.www-pconline.com/**/b12.exe
hxxp://u1.www-pconline.com/**/b17.exe
hxxp://u1.www-pconline.com/**/b13.exe
hxxp://u1.www-pconline.com/**/b35.exe
hxxp://u1.www-pconline.com/**/b15.exe
hxxp://u6.www-pconline.com/**/b7.exe
hxxp://u6.www-pconline.com/**/b45.exe
hxxp://u6.www-pconline.com/**/b3.exe
hxxp://u6.www-pconline.com/**/b10.exe
hxxp://u6.www-pconline.com/**/b5.exe
hxxp://u2.www-pconline.com/**/b8.exe
hxxp://u2.www-pconline.com/**/b2.exe
hxxp://u2.www-pconline.com/**/b4.exe
hxxp://u2.www-pconline.com/**/b11.exe
hxxp://u2.www-pconline.com/**/b9.exe
hxxp://u2.www-pconline.com/**/b1.exe
hxxp://u8.www-pconline.com/**/aaa.exe
hxxp://u8.www-pconline.com/**/cj.exe
hxxp://u5.www-pconline.com/**/vip.exe
11、下载了大量盗号文件,并添加了以下键值:
注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
数值名称:AppInit_DLLs
数值数据:
01AFE3DC.dll,HBmhly.dll,HBWOW.dll,HBDNF.dll,HBQQSG.dll,HBTL.dll,HBZHUXIAN.dll,HBWD.dll,HBASKTAO.dll,HBJTLQ.dll,HBQQXX.dll,HBLYFX.dll,HBYY.dll,HBCHIBI.dll xsisco.dll qanhllao.dll kodens.dll jolinen.dll kandoftt.dll rexljeh.dll
解决方案
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com/download/16.html
手工清除方法:
1、断开网络连接。 修改ast.exe为astiskingroad.exe并运行。
2、禁用并停止以下系统服务:
Application Management
Task Scheduler
System Restore Service
Windows Image Acquisition (WIA)
Windows Time
3、运行cmd.exe。使用超级巡警结束除系统进程外的全部进程,结束explorer.exe进程,结束svchost进程(可能有多个,全部给结束掉),如果结束后发现系统进行关机倒计时,请使用alt+tab切换到控制台输入shutdown -a 取消关机倒计时。
4、修复映象劫持。打开超级巡警,选择工具中的系统修复,选中【修复映像劫持】,点击修复来修复系统。
5、在cmd中输入
attrib -s -h -r c:\autorun.inf
del c:\autorun.inf
attrib -s -h -r c:\system.dll
del c:\system.dll
注:请将c替换为你的全部的磁盘符号,分别都执行一次。
6、打开注册表编辑器,删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WindowsAppInit_DLLs里面的键值;
删除以下注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HBService32
7、从正常计算机中复制以下文件到%Windir%\System32目录:
%Windir%\System32\appmgmts.dll
%Windir%\System32\schedsvc.dll
%Windir%\System32\srsvc.dll
%Windir%\System32\w32time.dll
%Windir%\System32\wiaservc.dll
8、删除病毒生成的以下文件:
%Windir%\System32\appwinproc.dll
%Windir%\System32\NsPass0.sys
%Windir%\System32\NsPass1.sys
%Windir%\System32\NsPass2.sys
%Windir%\System32\NsPass3.sys
%Windir%\System32\NsPass4.sys
%Windir%\System32\appmgmts.dll
%Windir%\System32\schedsvc.dll
%Windir%\System32\srsvc.dll
%Windir%\System32\w32time.dll
%Windir%\System32\wiaservc.dll
9、使用超级巡警修复host文件
10、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽以下网站:
txt.50nb.com
u1.www-pconline.com
u2.www-pconline.com
u3.www-pconline.com
u4.www-pconline.com
u5.www-pconline.com
u6.www-pconline.com
u8.www-pconline.com
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、禁用不必要的服务。
5、不要使用IE内核的浏览器。
6、不要随便打开不明来历的电子邮件,尤其是邮件附件。
7、不要随意下载不安全网站的文件并运行。
8、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不明网站。
9、下载和新拷贝的文件要首先进行查毒。
10、不要轻易打开即时通讯工具中发来的链接或可执行文件。
11、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,
在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% 系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论