Rootkit.Win32.Agent.btu,該病毒屬後門類,病毒運行後獲取系統資料夾路徑%System32%\drivers\beep.sys,調用LoadLibraryA函式載入SFC.DLL檔案。
基本介紹
- 中文名:Rootkit.Win32.Agent.btu
- 病毒名稱:Rootkit.Win32.Agent.btu
- 病毒類型 :後門類
- 感染系統: Windows98以上版本
病毒標籤,病毒描述,行為分析,清除方案,
病毒標籤
病毒名稱: Rootkit.Win32.Agent.btu
病毒類型: 後門類
檔案 MD5: BD4D289E61207841F6F6A9BDCDD46BA3
公開範圍: 完全公開
危害等級: 4
檔案長度: 81,920 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
病毒描述
將%System32%\drivers\目錄下的beep.sys檔案刪除,並創建一個同名的檔案,以系統原服務載入病毒釋放的驅動檔案,達到不對註冊表操作的目的,即可躲避多款殺軟的主動防禦,釋放驅動檔案恢復SSDT使卡巴主動防禦失效,等待載入完驅動後將beep.sys驅動檔案刪除,釋放臨時檔案1923531_res.tmp到%temp%目錄下,將檔案創建時間修改成2004年然後將檔案拷貝到%System32%目錄下並重命名為:BITSEx.dll,執行完畢後將臨時檔案1923531_res.tmp刪除,修改添加註冊表病毒項,將病毒BITSEx.dll檔案注入到svhost.exe進程中,等待病毒執行完以上操作將以命令行方式刪除病毒自身,等待接受病毒作者傳送的控制指令,受感染用戶可能會被操縱進行Ddos攻擊、遠程控制、傳送垃圾郵件、創建本地Tftp、下載病毒檔案等行為。
行為分析
本地行為
1、檔案運行後會釋放以下檔案
%System32%\BITSEx.dll 69,632 位元組
2、修改註冊表項:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS\0000\Service]
值: 字元串: "BITS"
描述:病毒服務名
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll]
新: C:\WINDOWS\system32\BITSEx.dll.
舊: C:\WINDOWS\system32\qmgr.dll.
描述:將註冊表啟動的DLL檔案修改為病毒檔案的DLL檔案,使系統啟動載入病毒檔案
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Start]
新: DWORD: 2 (0x2)
舊: DWORD: 3 (0x3)
描述:設定病毒服務的啟動方式為自動
3、獲取系統資料夾路徑%System32%\drivers\beep.sys,調用LoadLibraryA函式載入SFC.DLL檔案。將%System32%\drivers\目錄下的beep.sys檔案刪除,並創建一個同名的檔案,以系統原服務載入病毒釋放的驅動檔案,達到不對註冊表操作的目的,即可躲避多款殺軟的主動防禦,釋放驅動檔案恢復SSDT使卡巴主動防禦失效,等待載入完驅動後將beep.sys驅動檔案刪除。
4、釋放臨時檔案1923531_res.tmp到%temp%目錄下,將檔案創建時間修改成2004年然後將檔案拷貝到%System32%目錄下並重命名為:BITSEx.dll,執行完畢後將臨時檔案1923531_res.tmp刪除。
5、將病毒BITSEx.dll檔案注入到svhost.exe進程中,等待病毒執行完以上操作將以命令行方式《/c del %s > nul》刪除病毒自身,等待接受病毒作者傳送的控制指令。
網路行為
協定:TCP
連線埠:48
連線伺服器名:nbnb48.3322.org
IP位址:61.151.239.209
連線到該伺服器等待接受病毒作者傳送的控制指令
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方案
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用ATOOL進程管理找到svhost.exe進程中模組中的BITSEx.dll病毒檔案強行結束該病毒進程模組。
(2) 強行刪除病毒下載的大量病毒檔案 %System32%\BITSEx.dll
(3) 刪除病毒創建的註冊表項,恢復註冊表修改項
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS\0000\Service]
值: 字元串: "BITS"
刪除該鍵值
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll]
新: C:\WINDOWS\system32\BITSEx.dll.
舊: C:\WINDOWS\system32\qmgr.dll.
恢復註冊表原值C:\WINDOWS\system32\qmgr.dll.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Start]
新: DWORD: 2 (0x2)
舊: DWORD: 3 (0x3)
恢復註冊表原值DWORD: 3 (0x3)
