該病毒為刷流量病毒,病毒運行後載入動態程式庫urlmon.dll,獲取%Temp%臨時資料夾目錄,利用URLDownloadToFile函式從網上讀取TXT列表代碼將病毒檔案代碼保存到臨時資料夾下
基本介紹
- 中文名:Trojan.Downloader.Win32.Agent.yko
- 病毒類型:蠕蟲
- 公開範圍:完全公開
- 危害等級:4
病毒標籤,病毒名稱,包含病毒,病毒類型,檔案MD5,公開範圍,危害等級,檔案長度,感染系統,開發工具,加殼類型,病毒描述,行為分析,本地行為,網路行為,清除方案,
病毒標籤
病毒名稱
Trojan-Downloader.Win32.Agent.yko
包含病毒
1、Trojan-Downloader.Win32.Agent.yko.lfb
2、Trojan-Downloader.Win32.Agent.yko.bmp
3、Trojan-Downloader.Win32.Agent.yko.cnv
4、Trojan-Downloader.Win32.Agent.yko.bdd
5、Trojan-Downloader.Win32.Agent.yko.puv
6、Trojan-Downloader.Win32.Agent.yko.arp (.b.exe MD5:74a9312c0c7b6146dc6d1ac3bb119f32 ,xof等)
病毒類型
檔案MD5
37366A95A5D0FD0664CDAC6512DC77A5
公開範圍
完全公開
危害等級
4
檔案長度
77,312 位元組
感染系統
Windows98以上版本
開發工具
Borland Delphi 6.0 - 7.0
加殼類型
ASPack 2.12 -> Alexey Solodovnikov
病毒描述
該病毒為刷流量病毒,病毒運行後載入動態程式庫urlmon.dll,獲取%Temp%臨時資料夾目錄,利用URLDownloadToFile函式從網上讀取TXT列表代碼將病毒檔案代碼保存到臨時資料夾下,重命名為:TBHAILYFXYV.zbc(隨機病毒名),在%system32%\oobe目錄下利用命令行方式創建一個windows下刪不掉的資料夾命名為:“bak..”,將%Temp%臨時資料夾TBHAILYFXYV.zbc檔案,利用命令行方式拷貝到%system32%\oobe\bak.目錄下,命名為:Outputbat.txt,作為作為代碼的備份,遍歷%Temp%臨時資料夾查找TBHAILYFXYV.zbc(隨機病毒名), 將檔案時間值轉換成DOS日期和時間值,並在臨時目錄下創建一個後綴以EXE同名的檔案,獲取MZP頭以命令行方式將病毒打包成自解壓檔案並設定密碼為:“logved*log;7^5#;tvn”,以達到防毒軟體無法解壓檔案而不能查殺該病毒檔案的目的,在DOS下使用命令行解壓檔案install.exe,並以命令行方式啟動該檔案,在%system32%\oobe\目錄下釋放unkgknroni.dll並將其註冊為BHO瀏覽器輔助對象,病毒檔案並創建一個名為5046(4位隨機數字)並釋放一個病毒檔案svchost.exe到該目錄下,創建該病毒進程,該檔案用來定時隱藏打開大量的網頁地址,添加註冊表啟動項,穿過windows自帶防火牆,執行完畢後將%Temp%臨時資料夾下TBHAILYFXYV.zbc、install.exe檔案刪除,最後創建$$30689.bat批處理檔案刪除病毒原檔案。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%system32%\302fcc88b1.dll 92,672 位元組 (10位隨機數字與字母組合病毒名)
%windir%\f218f4fbb2.dll 64 位元組 (10位隨機數字與字母組合病毒名)
%system32%\oobe\0755\svchost.exe 871,936 位元組 (4位隨機數字資料夾名)
%system32%\oobe\qnujhyroni.dll 563,712 位元組
2、修改註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\InprocServer32\@
值: 字元串: "C:\WINDOWS\system32\oobe\unkgknroni.dll"
描述:添加註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\ProgID\@
值: 字元串: "unkgknroni.XunBHoSwf"
描述:病毒檔案註冊為BHO的名稱
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unkgknroni.XunBHoSwf\Clsid\@
值: 字元串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"
描述:註冊CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{03C12478-A0D3-4291-A535-F6D16BA08D68}\
描述:將病毒DLL檔案註冊為BHO瀏覽器輔助對象
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
\C:\WINDOWS\system32\oobe\7955\svchost.exe
值: 字元串: "C:\WINDOWS\system32\oobe\7955\svchost.exe:*:Enabled:svchost"
描述:將病毒檔案設定為Windows自帶防火牆為旅行,達到調過防火牆視窗詢問目的
3、病毒運行後載入動態連線庫檔案urlmon.dll,獲取%Temp%臨時資料夾目錄, 利用URLDownloadToFile函式從網上讀取TXT列表代碼將病毒檔案代碼到本機保存到臨時資料夾下,重命名為:TBHAILYFXYV.zbc(隨機病毒名)
4、在%system32%\oobe目錄下利用DOS命令行方式:CMD /C MD C:\WINDOWS\system32\oobe\bak.\創建一個windows下刪不掉的資料夾命為:“bak..”,將%Temp%臨時資料夾TBHAILYFXYV.zbc檔案,利用命令行方式:CMD /C COPY C:\DOCUME~1\a\LOCALS~1\Temp\TBHAILYFXYV.zbc
C:\WINDOWS\system32\oobe\bak..\Outputbat.txt /Y拷貝到%system32%\oobe\bak.目錄下,命名為:Outputbat.txt,作為作為病毒代碼的備份。
5、遍歷%Temp%臨時資料夾查找TBHAILYFXYV.zbc(隨機病毒名), 將檔案時間值轉換成DOS日期和時間值,並在臨時目錄下創建一個後綴以TBHAILYFXYV.EXE同名的檔案,獲取MZP頭以命令行方式:""%s" -p"%s" -o- -s -d"%s將病毒打包成自解壓檔案並設定密碼為:“logved*log;7^5#;tvn”
6、在DOS下使用命令行:C:\DOCUME~1\a\LOCALS~1\Temp\KHOANEHWQPR.exe" -p"logved*log;7^5#;tvn" -o- -s -d"C:\DOCUME~1\a\LOCALS~1\Temp\解壓檔案install.exe,並以命令行方式啟動該檔案, 在%system32%\oobe\目錄下釋放unkgknroni.dll並將其註冊為BHO瀏覽器輔助對象,病毒檔案並創建 一個名以5046(4位隨機數字的目錄)並釋放一個病毒檔案svchost.exe到該目錄下,創建該病毒進 程,該檔案用來定時隱藏打開大量的網頁地址,執行完畢後將%Temp%臨時資料夾下TBHAILYFXYV.zbc、install.exe檔案刪除,最後創建$$30689.bat批處理檔案刪除病毒原檔案
網路行為
連線以下網址統計病毒安裝情況,並順序隱藏打開大量病毒預定好的網址:
http://www.ww****.cn/usersetup.asp?
action=027B04E05BE9C3AD11EFF8364C0F7008436CB1B5107441BBC4A0BD
F4DD741245DB1256C8ADF1A18A827E643FB175282FC3D4B
http://www.ww****.cn/usersetup.asp?
action=6D663F4F2B2AC7480D4710CBFE9572144AAA68BBF4D73AF73792A323C9E9416F34BED60
08CE304CC8E75B079077CEA8EE6318EA8F840EDEE32AFED2FB03C8CFF19818140F3646A4ABDA27E
22232B6796EFDC24927BC7BEB6C9C63CBFA8EABB0B87513EED40601DDDF3F1C3D3B166C74DB17E7A
7CCCE1AA93CDDD2777182AD129
*163*.txt
*yahoo*.txt
*sina*.txt
*3721*.txt
*alimama*.txt
*mmstat*.txt
*114*.txt
*yisou*.txt
*baidu*.txt
*google*.txt
*9v*.txt
*alibaba*.txt
*lianmeng*.txt
*2t3t*.txt
*sogou*.txt
*aliunion*.txt
*narrowad*.txt
*bolaa*.txt
*forsky*.txt
*heima8*.txt
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings \當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是%system32%
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用ATOOL“進程管理”關閉%system32%\oobe\0755\svchost.exe路徑的病毒進程
(2) 恢復註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\InprocServer32\@
值: 字元串: "C:\WINDOWS\system32\oobe\unkgknroni.dll"
描述:添加註冊表啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\ProgID\@
值: 字元串: "unkgknroni.XunBHoSwf"
描述:病毒檔案註冊為BHO的名稱
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unkgknroni.XunBHoSwf\Clsid\@
值: 字元串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"
描述:註冊CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{03C12478-A0D3-4291-A535-F6D16BA08D68}\
描述:將病毒DLL檔案註冊為BHO瀏覽器輔助對象
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\oobe\7955\svchost.exe
值: 字元串: "C:\WINDOWS\system32\oobe\7955\svchost.exe:*:Enabled:svchost"
描述:將病毒檔案設定為Windows自帶防火牆為旅行,達到調過防火牆視窗詢問目的
(3) 刪除病毒毒衍生的檔案:
%system32%\302fcc88b1.dll
%windir%\f218f4fbb2.dll
%system32%\oobe\0755\svchost.exe
%system32%\oobe\qnujhyroni.dll
使用命令:rd bak..\/s在CMD命令下刪除%system32%\oobe\目錄下的bak.資料夾,或使用ATOOL工具強行刪除該資料夾
