該病毒為下載者病毒,病毒運行之後,在註冊表中添加SOFTWARE\Microsoft\DataAccess項,保存該十六進制形式的病毒代碼入鍵值adatapx中。保存病毒的名稱到鍵值"db2"中,添加病毒服務,使病毒開機自啟動,將Svchost.exe-k netsvcs服務設定為自動以提高許可權來刪除殺軟服務,拷貝自身到%WINDOWS%\System32\config下,病毒運行後刪除自身檔案,連線網路下載大量病毒檔案。
基本介紹
- 中文名:Trojan.Downloader.Win32.Agent.tdf
- 病毒類型:木馬
- 公開範圍:完全公開
- 危害等級: 4
病毒標籤,行為分析,清除方案,
病毒標籤
病毒名稱: Trojan-Downloader.Win32.Agent.tdf
病毒類型: 木馬
檔案 MD5: 5F022E9A35D3451AF6F25A7A52B6BCA1
公開範圍: 完全公開
危害等級: 4
檔案長度: 145,408 位元組
感染系統: Windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
行為分析
本地行為
1、創建病毒服務、添加註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataAccess\adatapx
值: 字元串: "[md5]5f022e9a35d3451af6f25a7a52b6bca1.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\Description
值: 字元串: "管理系統資料快照存儲服務,該服務不能被刪除。"
描述:病毒服務描述
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\DisplayName
值: 字元串: "Protected Storage Manager "
描述:病毒服務名
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\ImagePath
值: 字元串: "%WINDOWS%\system32\svchost.exe-k netsvcs."
描述:提高許可權來刪除殺軟服務
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\Start
值: DWORD: 2 (0x2)
描述:病毒啟動方式為自動
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori\Type
值: DWORD: 272 (0x110)
2、以十六進制形式的病毒代碼入鍵值adatapx中。保存病毒的名稱到鍵值"db2"中。
3、檔案運行後會釋放以下檔案
%System32%\xunleiBHO_Now5.dll
%System32%\bfh7.dll
%System32%\7fg9.dll
%System32%\9ffe.exe
%WINDOWS%\Downloaded Program Files\fa7ac.dll
%WINDOWS%\Downloaded Program Files\fa7b.dll
%WINDOWS%\Player.exe
%WINDOWS%\033.exe
%WINDOWS%\7fdd.bmp
%WINDOWS%\dfcf.exe
%WINDOWS%\ffb9.txt
%WINDOWS%\39.exe
%Program Files%\Common Files\PushWare\Uninst.exe
%Program Files%\Common Files\PushWare\cpush.dll
4將svchost.exe-k netsvcs服務設定為自動以提高許可權來刪除殺軟服務,調用WinExec函式使用SW_HIDE參數啟動病毒使病毒啟動後隱藏主視窗 。
網路行為
協定:TCP
連線埠:80
連線伺服器名
描述:按照檔案列表中的”PlugList”,”Download”下載病毒檔案和外掛程式
列表內容為:
[PlugList]
Url=666E0199EB5F932286F65FECCBB07159F396FD17D74A4EC5FF47F4749B5B377D
[Download]
Ver=22
URL=666E0199EB5F932286F65FECCBB07159FA8EADAE5D0FA85C39CD4262B0C1F236F0298CE94FD5FFDF3FDE51C6D1E09744
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。推薦使用ATool管理工具。
(1)清除IE的臨時檔案、刪除所有脫機內容打勾。
(2) 強行刪除病毒下載的大量病毒檔案
%System32%\xunleiBHO_Now5.dll
%System32%\bfh7.dll
%System32%\7fg9.dll
%System32%\9ffe.exe
%WINDOWS%\Downloaded Program Files\fa7ac.dll
%WINDOWS%\Downloaded Program Files\fa7b.dll
%WINDOWS%\Player.exe
%WINDOWS%\033.exe
%WINDOWS%\7fdd.bmp
%WINDOWS%\dfcf.exe
%WINDOWS%\ffb9.txt
%WINDOWS%\39.exe
%Program Files%\Common Files\PushWare\Uninst.exe
%Program Files%\Common Files\PushWare\cpush.dll
(3)刪除病毒創建的啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataAccess\adatapx
刪除DataAccess鍵下所有的鍵值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ProtectedStori
刪除ProtectedStori鍵下所有的鍵值
