Trojan-Downloader.Win32.Agent.qpv.gif

Trojan-Downloader.Win32.Agent.qpv.gif為下載者木馬類,病毒運行後調用CreateMutexA函式創建互病毒斥量:__DL_CORE4GA_MUTEX__,目的防止多次運行,調用API獲取系統資料夾路徑,衍生病毒檔案到%Windir%\AppPatch目錄下,重命名為Jview.dll與AcXtrnel.dll,並添加註冊表啟動項,創建rundll32.exe使該進程載入病毒DLL檔案,連線網路下載大量惡意病毒檔案到本地執行,經分析下載的大量病毒為盜號木馬類,給用戶清理造成及大的不便。

基本介紹

  • 外文名:Trojan-Downloader.Win32.Agent.qpv.gif
  • 病毒類型: 木馬下載器
  • 危害等級 :4
  • 公開範圍: 完全公開
病毒標籤:,行為分析:,

病毒標籤:

病毒名稱: Trojan-Downloader.Win32.Agent.qpv.gif
檔案 MD5: 0BCB2187B2E0EDCF88EC0CACFFF15E05
檔案長度: 9,728 位元組
感染系統: Windows98以上版本
開發工具: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

行為分析:

本地行為:
1、檔案運行後會釋放以下檔案:
%Windir%\AppPatch\Jview.dll 13,824 位元組
%Windir%\AppPatch \AcXtrnel.dll 9,216 位元組
2、添加註冊表病毒啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}
\InprocServer32]
新建鍵值: "@"
類型: REG_SZ
字元串: “C:\WINDOWS\AppPatch\Jview.dll”
描述: 添加註冊表項,以達到隨機啟動的目的
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}
\InprocServer32]
新建鍵值: "ThreadingModel"
類型: REG_SZ
字元串: “Apartment”
描述: 註冊CLSID值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
新建鍵值: "JavaView"
類型: REG_SZ
字元串: “{DA191DE0-AA86-D04E-4B87-2A3D4928BE99}”
3、創建rundll32.exe使該進程載入病毒DLL檔案。
4、連線網路讀取列表下載大量惡意病毒檔案到本地執行。
網路行為:
協定:TCP
連線埠:53
連線伺服器名:http://ad.updat****.us/ads.jpg
IP位址:125.83.89.**
描述:連線伺服器讀取TXT列表內容下載病毒,讀取的列表內容:
http://125.83.89.**:53/10.gif
http://125.83.89.**:53/11.gif
http://125.83.89.**:53/12.gif
http://125.83.89.**:53/13.gif
http://125.83.89.**:53/14.gif
http://125.83.89.**:53/15.gif
http://125.83.89.**:53/16.gif
http://125.83.89.**:53/17.gif
http://125.83.89.**:53/18.gif
http://125.83.89.**:53/19.gif
http://125.83.89.**:53/2.gif
http://125.83.89.**:53/20.gif
http://125.83.89.**:53/3.gif
http://125.83.89.**:53/4.gif
http://125.83.89.**:53/5.gif
http://125.83.89.**:53/6.gif
http://125.83.89.**:53/7.gif
http://125.83.89.**:53/8.gif
http://125.83.89.**:53/9.gif
http://abc.updat****.cn/21.gif
http://abc.updat****.cn/22.gif
http://abc.updat****.cn/23.gif
http://abc.updat****.cn/24.gif
http://abc.updat****.cn/25.gif
http://abc.updat****.cn/26.gif
http://abc.updat****.cn/27.gif
http://abc.updat****.cn/28.gif
http://abc.updat****.cn/29.gif
http://abc.updat****.cn/30.gif
http://abc.updat****.cn/31.gif
http://abc.updat****.cn/32.gif
http://abc.updat****.cn/33.gif
http://abc.updat****.cn/34.gif
http://abc.updat****.cn/35.gif
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的
位置。
%Windir%     WINDODWS所在目錄
%DriveLetter%    邏輯驅動器根目錄
%ProgramFiles%      系統程式默認安裝目錄
%HomeDrive%   當前啟動的系統的所在分區
%Documents and Settings%  當前用戶文檔根目錄
%Temp%  \Documents and Settings
\當前用戶\Local Settings\Temp
%System32%  系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32

熱門詞條

聯絡我們