![Trojan/Win32.Agent.acfe [Dropper]](/img/a/82a/wZwpmLmNGM3IWMzQmM3U2YjNDZhRTO5kTZ3UDZv0WZ0l2LjlGcvU2apFmYv02bj5SdklWYi5yYyN3Ztl2LvoDc0RHa.jpg "Trojan/Win32.Agent.acfe [Dropper]")
基本介紹
- 外文名:Trojan/Win32.Agent.acfe [Dropper]
- 病毒類型:盜號木馬
- 公開範圍: 完全公開
- 危害等級: 4
病毒標籤:,病毒描述:,行為分析-本地行為:,行為分析-網路行為:,清除方案:,
病毒標籤:
病毒名稱: Trojan/Win32.Agent.acfe [Dropper]
MD5: A5AFDCDA7CD029074A913CF08B927CE5
檔案長度: 40,303 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: NsPacK V3.7 -> LiuXingPing *
病毒描述:
該病毒為熱血傳奇盜號木馬,病毒運行後,遍歷進程查找"alien32.exe",如找到則強行結束該進程,拷貝自身檔案到%system32%目錄下,重命名為:alien32.exe,獲取NTDLL.DLL檔案時間,將衍生的病毒檔案創建時間設定為獲取的NTDLL.DLL檔案的時間,調用API函式創建%system32%目錄下病毒進程,病毒運行完後刪除自身,alien32.exe病毒檔案運行後查找類名為"SHRTMIR"的窗體,衍生DLL病毒檔案到%system32%目錄下,動態載入病毒DLL檔案、獲取病毒DLL基礎,並調用病毒DLL,枚舉核心模組名"ntkrnlpa.exe"並載入該進程,創建病毒驅動檔案到%system32%\Drivers目錄下,並打開病毒服務,等待載入完畢後、刪除病毒驅動檔案,添加註冊表RUN啟動項,遍歷進程查找360tray.exe進程、找到後強行結束該進程,遍歷進程查找explorer.exe進程、找到後調用核心函式獲取該進程句柄、修改進程的訪問令牌,申請記憶體空間、將病毒DLL寫到explorer.exe與svchost.exe進程中,並創建一個執行緒。DLL檔案主要行為:查找類名"SAS Window class"的窗體,並向該窗體傳送錯誤訊息,查找遊戲類名"TFrmMain"名稱為“傳奇載入”的窗體,找到後調用函式向該窗體傳送訊息,檢測包含病毒預定的文字控制項按鈕、如匹配成功則刪除該窗體的安全檢測控制項,使遊戲安全檢測項失效、以到達截取遊戲帳戶密碼目的,通過URL方式傳送到作者指定的地址中。
行為分析-本地行為:
1、遍歷進程查找"alien32.exe",如找到則調用TerminateProcess函式強行結束該進程,獲取該NTDLL.DLL檔案時間,將衍生的病毒檔案創建時間設定為獲取的NTDLL.DLL檔案的時間,查找類名為"SHRTMIR"的窗體,找到之後衍生DLL病毒檔案到%system32%目錄下,動態載入病毒DLL檔案、獲取病毒DLL基礎,並調用病毒DLL,枚舉核心模組名"ntkrnlpa.exe"並載入該進程。
2、檔案運行後會釋放以下檔案
%system32%\drivers\aliimz.sys
%system32%\dllcache\alitte32.exe
%system32%\dllcache\ali4a10f.dll
3、添加註冊表啟動項、創建病毒服務
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz
值: 字元串: "alien32.exe"
描述:添加註冊表病毒啟動病毒
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\ImagePath
值: 字元串:"System32\Drivers\aliimz.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Type
值: DWORD: 1 (0x1)
描述:創建註冊表病毒服務項
4、遍歷進程查找360tray.exe進程、找到後強行結束該進程,遍歷進程查找explorer.exe進程、找到後調用核心函式獲取該進程句柄、修改進程的訪問令牌,申請記憶體空間、利用API函式WriteProcessMemory將病毒DLL寫到explorer.exe與svchost.exe進程中,並創建一個執行緒。
5、DLL檔案主要行為:調用API函式FindWindowA查找類名"SAS Window class"的窗體,並向該窗體傳送錯誤訊息,查找遊戲類名"TFrmMain"名稱為"傳奇載入"的窗體,找到後調用函式向該窗體傳送訊息,檢測包含病毒預定的文字控制項按鈕、如匹配成功則刪除該窗體的安全檢測控制項,使遊戲安全檢測項失效、以到達截取遊戲帳戶密碼目的。
刪除包含以下檔案的控制項按鈕:
提示:為保護帳號安全,\n\n請您驗證帳號身份信息。
提示:反外掛測試中,請輸入動態密寶。
行為分析-網路行為:
協定:TCP
連線埠:80
描述:連線域名傳送遊戲賬戶到病毒作者接收地址中,回傳格式為:
tid=%s&nid=%s&id=%s&p=%s&a=%s&sv=%s&j1=%s.%s(%d)&j2=%s.%s(%d)&pn=%s&sys=%s&yb=%d&lf
=%d&jgs=%d&mv=%d&mb=%d&sgn=%d&zb=%s
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%
清除方案:
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL管理工具,“進程管理”查找explorer.exe與svchost.exe進程中的病毒模組名"ali4ee25.dll",找到該病毒模組強行結束。
(2) 強行刪除病毒檔案
%system32%\dllcache\alitte32.exe
%system32%\dllcache\ali4a10f.dll
(3)恢復註冊表下項、刪除病毒啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz
刪除Run鍵下的nwiz鍵值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz
刪除Services鍵下的aliimz主鍵值
