基本介紹
- 中文名:Trojan.Downloader.Win32.Cntr.ioq
- 病毒類型: 蠕蟲類
- 公開範圍: 完全公開
- 危害等級: 4
病毒標籤,病毒描述,行為分析,本地行為,行為分析-網路行為,清除方案,
病毒標籤
病毒名稱: Trojan-Downloader.Win32.Cntr.ioq
病毒類型: 蠕蟲類
檔案 MD5: F8820809EBCAB9AC87CA039A0D974F59
公開範圍: 完全公開
危害等級: 4
檔案長度: 7,680 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 7.0
傳播方式: 利用電子郵件傳播
病毒描述
將信息保存到svcp.csv檔案中,調用InternetQueryDataAvailable函式,在%System32%目錄下創建一個back.exe利用遠程調用代碼技術獲取網路信息將病毒數據分段寫入該檔案中,訪問網路判斷病毒數據大小是否滿足條件如滿足則調用下載後的病毒檔案運行,並將svcp.csv檔案刪除,修改及刪除註冊表,下載後的back.exe行為分析:調用back.exe調用函式,釋放驅動檔案“glok+3c51-3a43.sys、glok+serv.config”(其中glok為固定不變的其它為隨機數字或字母),到%Windir%目錄下,EnumServicesStatus 枚舉系統服務,判斷現有服務是否存在病毒服務,如存在則不創建病毒服務,否則創建病毒病毒服務,在本地按順序隱藏打開病毒預定好的大量地址。
行為分析
本地行為
1、檔案運行後會釋放以下檔案:
%system32%\back.exe 92,672 位元組
%system32%\svcp.csv 64 位元組
%system32%\glok+3c51-3a43.sys 128,640 位元組(隨機檔案名稱)
%system32%\glok+serv.config 47,901 位元組(隨機檔案名稱)
%system32%\winsub.xml 4 位元組
2、修改註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\W32Time\Parameters\NtpServer
新: 字元串: "time.windows.com,time.nist.gov"
舊: 字元串: "time.windows.com,0x1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\W32Time\Parameters\NtpServer
新: 字元串: "time.windows.com,time.nist.gov"
舊: 字元串: "time.windows.com,0x1"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\6\Shell\ShowCmd
新: DWORD: 1 (0x1)
舊: DWORD: 3 (0x3)
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\6\Shell\WFlags
新: DWORD: 0 (0)
舊: DWORD: 2 (0x2)
3、刪除註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Capabilities
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Class
值: 字元串: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\ClassGUID
值: 字元串: ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\ConfigFlags
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Control\ActiveService
值: 字元串: "Gpc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\DeviceDesc
值: 字元串: "Generic Packet Classifier"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Legacy
值: DWORD: 1 (0x1)
4、病毒運行之後創建互斥量“gagagaradio”,防止病毒多次運行,調用HttpOpenRequestA隱藏打開一個超級連線、連線到一個網站,創建一個svcp.csv檔案到%System32%目錄下。
5、調用API函式InternetReadFile讀取網路信息,將信息保存到svcp.csv檔案中,調用InternetQueryDataAvailable函式,在%System32%目錄下創建一個back.exe,利用遠程調用代碼技術獲取網路信息將病毒數據分段寫入該檔案中,訪問網路連線=98&y=7621">http://213.155.3.**/aff/cntr.php?e=!!45337902_85_1_2_2&x=>=98&y=7621,判斷病毒數據大小是否滿足條件如滿足則關閉網路句丙,調用下載後的病毒檔案運行,並將svcp.csv檔案刪除。
6、下載後的back.exe行為分析:調用back.exe調用函式,釋放驅動檔案“glok+3c51-3a43.sys、glok+serv.config(其中glok為固定不變的其它為隨機數字或字母),到%Windir%目錄下,EnumServicesStatus 枚舉系統服務,判斷現有服務是否存在病毒服務,如存在則不創建病毒服務,否則創建病毒病毒服務,在本地按順序隱藏打開病毒預定好的大量地址。
行為分析-網路行為
隱藏打開大量病毒預定好的網站地址 。
註: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2 、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL“進程管理”關閉病毒相關進程。
(2) 恢復註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\W32Time\Parameters\NtpServer
新: 字元串: "time.windows.com,time.nist.gov"
舊: 字元串: "time.windows.com,0x1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\W32Time\Parameters\NtpServer
新: 字元串: "time.windows.com,time.nist.gov"
舊: 字元串: "time.windows.com,0x1"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\6\Shell\ShowCmd
新: DWORD: 1 (0x1)
舊: DWORD: 3 (0x3)
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\6\Shell\WFlags
新: DWORD: 0 (0)
舊: DWORD: 2 (0x2)
(3)恢復病毒刪除的註冊表項:
刪除的註冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Capabilities
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Class
值: 字元串: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\ClassGUID
值: 字元串: ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\ConfigFlags
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Control\ActiveService
值: 字元串: "Gpc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\DeviceDesc
值: 字元串: "Generic Packet Classifier"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Legacy
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft
\Windows\ShellNoRoam\MUICache
刪除MUICache鍵下的所有鍵值
(4)刪除病毒毒衍生的檔案:
%system32%\back.exe 92,672 位元組
%system32%\svcp.csv 64 位元組
%system32%\glok+3c51-3a43.sys 128,640 位元組(隨機檔案名稱)
%system32%\glok+serv.config 47,901 位元組(隨機檔案名稱)
%system32%\winsub.xml 4 位元組
