Backdoor/Win32.Agent.uzw

病毒名稱： Backdoor/Win32.Agent.uzw分析

檔案 MD5： F828D20FFB075B69E481BA089AE1B26B

檔案長度： 30,208 位元組

感染系統： Windows98以上版本

開發工具： Microsoft Visual C++ 6.0

加殼類型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

該病毒為後門類，病毒運行後檢測調試器，遍歷進程查找指定的進程名稱，如果存在調試器或含有指定的進程名稱則病毒體退出；結束系統中的指定服務；在臨時目錄下衍生名稱為“dll***.dll”（***為隨機數字）的檔案；載入衍生的dll檔案。衍生自刪除批處理檔案到臨時目錄下運行後刪除病毒體和批處理自身。衍生的動態程式庫檔案被載入後，衍生Nskhelper2.sys檔案到系統目錄下，並創建事件NsDlRk250，檢測當前的系統時間，如果年份大於2008則退出執行；否則創建遠程執行緒，連線網路下載病毒檔案、添加大量映像劫持、修改host檔案，在各個盤根目錄下衍生病毒檔案和autorun.inf檔案、在系統目錄下釋放其他驅動檔案等操作；衍生appwinproc.dll到系統目錄,檢測標題含有指定字元串的視窗並結束其進程，被感染計算機關機後病毒程式將感染被關閉服務對應的映像檔案。

1、檔案運行後會釋放以下檔案

%DriveLetter%\autorun.inf

%Documents and Settings%\Administrator\Local Settings\Temp\dll62.dll

%DriveLetter%\system.dll

%System32%\appwinproc.dll

%System32%\drivers\etc\hosts

%System32%\Nskhelper2.sys

%System32%\NsPass0.sys

%System32%\NsPass1.sys

%System32%\NsPass2.sys

%System32%\NsPass3.sys

%System32%\NsPass4.sys

%HomeDrive%\system.dll

%HomeDrive%\autorun.inf

2、新增註冊表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\“被劫持的檔案名稱”]

註冊表值: "Debugger"

類型: REG_SZ

值: "svchost.exe"

被劫持的檔案名稱稱列表如下：

360safe.exe、360safebox.exe、360tray.exe、ACKWIN32.exe、ANTI-TROJAN.exe、anti.exe、antivir.exe、atrack.exe、AUTODOWN.exe、AVCONSOL.exe、AVE32.exe、AVGCTRL.exe、avk.exe、AVKSERV.exe、avp.exe、AVPUPD.exe、AVSCHED32.exe、avsynmgr.exe、AVWIN95.exe、avxonsol.exe、BLACKD.exe、BLACKICE.exe、CCenter.exe、CFIADMIN.exe、CFIAUDIT.exe、CFIND.exe、cfinet.exe、cfinet32.exe、CLAW95.exe、CLAW95CT.exe、CLEANER.exe、CLEANER3.exe、DAVPFW.exe、dbg.exe、debu.exe、DV95.exe、DV95_O.exe、DVP95.exe、ECENGINE.exe、EFINET32.exe、ESAFE.exe、ESPWATCH.exe、explorewclass.exe、F-AGNT95.exe、F-PROT.exe、f-prot95.exe、f-stopw.exe、FINDVIRU.exe、fir.exe、fp-win.exe、FRW.exe、IAMAPP.exe、IAMSERV.exe、IBMASN.exe、IBMAVSP.exe、ice.exe、IceSword.exe、ICLOAD95.exe、ICLOADNT.exe、ICMOON.exe、ICSSUPPNT.exe、iom.exe、iomon98.exe、JED.exe、Kabackreport.exe、Kasmain.exe、kav32.exe、kavstart.exe、kissvc.exe、KPFW32.exe、kpfwsvc.exe、KPPMain.exe、KRF.exe、KVMonXP.exe、KVPreScan.exe、kwatch.exe、lamapp.exe、lockdown2000.exe、LOOKOUT.exe、luall.exe、LUCOMSERVER.exe、mcafee.exe、microsoft.exe、mon.exe、moniker.exe、MOOLIVE.exe、MPFTRAY.exe、ms.exe、N32ACAN.exe、navapsvc.exe、navapw32.exe、NAVLU32.exe、NAVNT.exe、navrunr.exe、NAVSCHED.exe、NAVW.exe、NAVW32.exe、navwnt.exe、nisserv.exe、nisum.exe、NMAIN.exe、NORMIST.exe、norton.exe、NUPGRADE.exe、NVC95.exe、office.exe、OUTPOST.exe、PADMIN.exe、PAVCL.exe、pcc.exe、PCCClient.exe、pccguide.exe、pcciomon.exe、pccmain.exe、pccwin98.exe、PCFWALLICON.exe、PERSFW.exe、PpPpWallRun.exe、program.exe、prot.exe、pview95.exe、ras.exe、Rav.exe、RAV7.exe、rav7win.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、regedit.exe、rescue32.exe、Rfw.exe、rn.exe、safeboxTray.exe、safeweb.exe、scam32.exe、scan.exe、SCAN32.exe、SCANPM.exe、scon.exe、SCRSCAN.exe、secu.exe、SERV95.exe、sirc32.exe、SMC.exe、smtpsvc.exe、SPHINX.exe、spy.exe、sreng.exe、SWEEP95.exe、symproxysvc.exe、TBSCAN.exe、TCA.exe、TDS2-98.exe、TDS2-NT.exe、Tmntsrv.exe、TMOAgent.exe、tmproxy.exe、tmupdito.exe、TSC.exe、UlibCfg.exe、vavrunr.exe、VET95.exe、VETTRAY.exe、vir.exe、VPC32.exe、VSECOMR.exe、vshwin32.exe、VSSCAN40、vsstat.exe、WEBSCAN.exe、WEBSCANX.exe、webtrap.exe、WFINDV32.exe、windows最佳化大師.exe、wink.exe、XDelbox.exe、zonealarm.exe

創建服務名為：NsDlRK25、NsPsDk00、NsPsDk01、NsPsDk02、NsPsDk03、NsPsDk04等6個服務。

服務的路徑分別為%System32%目錄下的對應驅動檔案。

3、查找的指定的進程名如下：

OllyDbg.exe、OllyICE.exe、PEditor.exe、LordPE.exe、C32Asm.exe、ImportREC.exe

4、被禁用的服務列表如下：

Schedule、AppMgmt、srservice、W32Time、stisvc

對應的服務名稱為：

Application Management，Task Scheduler，System Restore Service，Windows Image Acquisition (WIA)，Windows Time

5、修改host檔案，禁止部分安全類網站

添加的列表如下：

127.0.0.1 www.360.cn

127.0.0.1 www.360safe.cn

127.0.0.1 www.360safe.com

127.0.0.1 www.chinakv.com

127.0.0.1 www.rising.com.cn

127.0.0.1 rising.com.cn

127.0.0.1 dl.jiangmin.com

127.0.0.1 jiangmin.com

127.0.0.1 www.jiangmin.com

127.0.0.1 www.duba.net

127.0.0.1 www.eset.com.cn

127.0.0.1 www.nod32.com

127.0.0.1 shadu.duba.net

127.0.0.1 union.kingsoft.com

127.0.0.1 www.kaspersky.com.cn

127.0.0.1 kaspersky.com.cn

127.0.0.1 virustotal.com

127.0.0.1 www.kaspersky.com

127.0.0.1 www.cnnod32.cn

127.0.0.1 www.lanniao.org

127.0.0.1 www.nod32club.com

127.0.0.1 www.dswlab.com

127.0.0.1 bbs.sucop.com

127.0.0.1 www.virustotal.com

127.0.0.1 tool.ikaka.com

127.0.0.1 360.qihoo.com

6、在各個驅動器根目錄下衍生病毒檔案和autorun.inf檔案

Autorun.inf檔案的數據格式如下：

[autorun]

shell\open\command=rundll32 system.dll,explore

shell\explore\command=rundll32 system.dll,explore

7、視窗指定字元串列表

金山毒霸，360安全衛士，江民，木馬，專殺，下載者，NOD32，卡巴斯基、McAfee、超級巡警、奇虎、防毒……

8、感染系統檔案

被感染的系統檔案有：

%System32%\appmgmts.dll

%System32%\schedsvc.dll

%System32%\srsvc.dll

%System32%\w32time.dll

%System32%\wiaservc.dll

感染方式為：

從檔案的頭部開始寫入病毒檔案“system.dll”的代碼。直到寫完為止。

連線網路下載病毒列表，並依照病毒列表下載病毒檔案並執行

http://www-1****.com/count.txt

檔案內容如下：

http://u3.www-s****.com/ly/a4.exe

http://u3. www-s****.com/ly/a1.exe

http://u3.www-s****.com/ly/a3.exe

http://u3.www-s****.com/ly/a10.exe

http://u3.www-s****.com/ly/a40.exe

http://u3.www-s****.com/ly/a25.exe

http://u3.www-s****.com/ly/a13.exe

http://u3.www-s****.com/ly/a36.exe

http://u3.www-s****.com/ly/a41.exe

http://u3.www-s****.com/ly/a9.exe

http://u3.www-s****.com/ly/a49.exe

http://u3.www-s****.com/ly/a23.exe

http://u3.www-s****.com/ly/a32.exe

http://u3.www-s****.com/ly/a42.exe

http://u1.www-s****.com/hm/b12.exe

http://u1.www-s****.com/hm/b17.exe

http://u1.www-s****.com/hm/b13.exe

http://u1.www-s****.com/hm/b35.exe

http://u1.www-s****.com/hm/b15.exe

http://u1.www-s****.com/hm/b7.exe

http://u1.www-s****.com/hm/b21.exe

http://u1.www-s****.com/hm/b44.exe

http://u2.www-s****.com/hm/b3.exe

http://u2.www-s****.com/hm/b10.exe

http://u2.www-s****.com/hm/b5.exe

http://u2.www-s****.com/hm/b8.exe

http://u2.www-s****.com/hm/b2.exe

http://u2.www-s****.com/hm/b4.exe

http://u2.www-s****.com/hm/b11.exe

http://u2.www-s****.com/hm/b1.exe

http://u4.www-s****.com/bm/c1.exe

http://u4.www-s****.com/bm/c2.exe

http://u4.www-s****.com/bm/c3.exe

http://u4.www-s****.com/vip/aaa.exe

http://u4.www-s****.com/vip/cj.exe

註：%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當前用戶TEMP快取變數

%Windir%\ WINDODWS所在目錄

%DriveLetter%\ 邏輯驅動器根目錄

%ProgramFiles%\ 系統程式默認安裝目錄

%HomeDrive% = C:\ 當前啟動的系統的所在分區

%Documents and Settings%\ 當前用戶文檔根目錄

1、斷開網路。

2、使用安天防線可徹底清除此病毒(推薦)，點擊此處免費下載安天防線。

使用安天防線工具中的“服務管理”關閉下列服務

Application Management

Task Scheduler

System Restore Service

Windows Image Acquisition (WIA)

Windows Time

3、 重新啟動計算機後刪除下列檔案

%DriveLetter%\autorun.inf

%Documents and Settings%\Administrator\Local Settings\Temp\dll62.dll

%DriveLetter%\system.dll

%System32%\appwinproc.dll

%System32%\drivers\etc\hosts

%System32%\Nskhelper2.sys

%System32%\NsPass0.sys

%System32%\NsPass1.sys

%System32%\NsPass2.sys

%System32%\NsPass3.sys

%System32%\NsPass4.sys

%HomeDrive%\system.dll

%HomeDrive%\autorun.inf

%System32%\appmgmts.dll

%System32%\schedsvc.dll

%System32%\srsvc.dll

%System32%\w32time.dll

%System32%\wiaservc.dll

4、 從正常計算機中拷貝下列檔案到%System32%目錄下

%System32%\appmgmts.dll

%System32%\schedsvc.dll

%System32%\srsvc.dll

%System32%\w32time.dll

%System32%\wiaservc.dll

5、 刪除所有病毒添加的映像劫持註冊表項；

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\“被劫持的檔案名稱”]

刪除病毒添加的服務註冊表項

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\“服務名稱”]