Trojan/Win32.Buzus.arqx[Proxy]

該惡意代碼為木馬類,該病毒檔案對API函式進行了加密處理,病毒運行後解密部分API函式,將自身創建到進程中,讀取記憶體MZP標誌,查找00401000記憶體空間地址,比較是否是1000,申請記憶體空間將00400000地址的病毒代碼寫入到記憶體空間,在進程創建執行緒釋放病毒檔案到%System32%目錄下,在%System32%目錄下新添加lowsec目錄,衍生"local.ds"、"user.ds"到該目錄下,修改註冊表使用系統檔案達到啟動病毒,連線網路訪問請求並傳送數據,該病毒通過SMTP引擎群發郵件進行傳播。

基本介紹

  • 中文名:Trojan/Win32.Buzus.arqxProxy
  • 詞語分類:計算機套用術語病毒名
  • 病毒類型:木馬
  • 公開範圍:完全公開
  • 危害等級:4
  • 檔案長度:82,950 位元組
  • 感染系統:Windows98以上版本
  • 開發工具:Borland Delphi 6.0 - 7.0
病毒描述,本地行為,網路行為,清除方案,

病毒描述

該惡意代碼為木馬類,該病毒檔案對API函式進行了加密處理,病毒運行後解密部分API函式,將自身創建到進程中,讀取記憶體MZP標誌,查找00401000記憶體空間地址,比較是否是1000,申請記憶體空間將00400000地址的病毒代碼寫入到記憶體空間,在進程創建執行緒釋放病毒檔案到%System32%目錄下,在%System32%目錄下新添加lowsec目錄,衍生"local.ds"、"user.ds"到該目錄下,修改註冊表使用系統檔案達到啟動病毒,連線網路訪問請求並傳送數據,該病毒通過SMTP引擎群發郵件進行傳播。

本地行為

1、該病毒檔案對API函式進行了加密處理,病毒運行後解密部分API函式,將自身創建到進程中,讀取記憶體MZP標誌,查找00401000記憶體空間地址,比較是否是1000,申請記憶體空間將00400000地址的病毒代碼寫入到記憶體空間。
2、檔案運行後會釋放以下檔案
%System32%\sdra64.exe
%System32%\lowsec\local.ds
%System32%\lowsec\user.ds
3、修改註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字元串: "%System32%\userinit.exe,%System32%\sdra64.exe,"
舊: 字元串: "%System32%\userinit.exe,"
描述:修改註冊表使用userinit.exe系統檔案啟動病毒

網路行為

協定:TCP
連線埠:80
連線IP位址:
描述:連線以上域名請求以下數據
HM.C?晍Y?蛵盜\9屓攀?[鳷冶X??1??鎘.%."?9瑤d皜?H,磒.^$)?:q佛
?薭啛瞦嬱
)/C蟫2臐jD齏?^=2篜6偅蠂'[輔rT`勗侇袩@宵錦椣鍃X樘?騸?Z*剶 獸)穎涗5判戭Z胊IJ欙?
鞧艕せ*4汔幌i遚C 菅-?W<鑀?@K窨氣?J¬
鞈 2gD 墝P?
鳫a/pXe
協定:TCP
連線埠:80
連線IP位址: http://92.62.101.3**/phpbb/dir.php
描述:連線以上域名傳送以下數據
M.C?晍Y羝蛵S摵珃
嘨慚礲?`歓?1??鎘.9."豵d櫦~氭??
i凞qJ頾{6ω ?鵏礙(傾好8 ?PΣ-?澐p\J遱x??z輔rud勗闉わ2蟮<噲湞徂駃軀?檯?8幘{鐯A荂珍5列懳C胊覞鎩an??嬅EW倶訝甃K磜{L?褞O?抖巽L4潶?蔐齇?陚?P屶犿:B,,?餡K顜u>?匭簎? ~?[線yk(冶
Z儤?)Ym唭煱悡+H。uHTTP/1.1 200 OK
Connection: close
Date: Thu, 26 Mar 2009 00:31:59 GMT
Server: Microsoft-IIS/6.0
Content-type: text/html
*L.C?晍Y?蛵
?J?袽FU嚜曥 媫?1??鎘.!."?/PRE>
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir%  WINDODWS所在目錄
%DriveLetter%   邏輯驅動器根目錄
%ProgramFiles%  系統程式默認安裝目錄
%HomeDrive%   當前啟動的系統的所在分區
%Documents and Settings%  當前用戶文檔根目錄
%Temp%  \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%。
1、使用安天防線可徹底清除此病毒(推薦 ).
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
推薦使用ATool管理工具。
(1) 強行刪除病毒衍生的檔案
%System32%\sdra64.exe
%System32%\lowsec\local.ds
%System32%\lowsec\user.ds
(2)恢復病毒修改的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字元串: "%System32%\userinit.exe,%System32%\sdra64.exe,"
舊: 字元串: "%System32%\userinit.exe,"
描述:修改註冊表使用userinit.exe系統檔案啟動病毒

熱門詞條

聯絡我們