|
病毒名称:Trojan-Downloader.Win32.Agent.aqr(Kaspersky)
病毒别名:Win32.Troj.Small.sg.29696(毒霸)
Trojan.DL.Mashaji.ag(瑞星)
病毒大小:29,696 字节
加壳方式:UPX
样本MD5:33f78ab5c5433ea5f56f8796ebfee166
样本SHA1:82dc9718e47b5463ae5d06a2ba846dd32743f60e
发现时间:2007.1.9
更新时间:2007.1.9
关联病毒:
传播方式:恶意网页、其它病毒下载
技术分析
==========
这个木马是去年某个时间段流行一时的Realplayer.exe变种:
运行后复制自身到系统目录:
%System%\realschd.exe
并释放%System%\notepad.dll注入Explorer.exe进程。
使用%Windows%\gafsdaz.bat批处理删除自身:
:try
del "exe"
if exist "exe" goto try
del %0
创建自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"realschd.exe"="%System%\realschd.exe"
约每1.5秒左右的时间重写此项。
尝试访问http://info.checkthisdoor.com/huoche070109.html检查更新,网页内容为:
<RUN>0</RUN><SPAGE></SPAGE><SVER>v20070109</SVER>
并从以下地址下载更新保存到临时目录%temp%\v20070109.rar:
http://dd.checkthisdoor.com/v20070109.rar
另,此木马可能会修改IE主页为:
http://www.8757.com/
清除步骤
==========
1. 结束木马进程:
%System%\realschd.exe
2. 结束%Windows%\Explorer.exe进程
3. 通过任务管理器或其它进程管理工具(如ProceXP)把%Windows%\Explorer.exe再运行起来
4. 删除木马文件:
%System%\realschd.exe
%System%\notepad.dll
5. 删除木马自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"realschd.exe"="%System%\realschd.exe"
6. 重新启动计算机
7. 恢复被修改的IE主页
病毒清除完毕.
木马的原理
它的隐藏原理:
第一次感染,用自身替换internat.exe和notepad.exe.
windows98每次开机都会运行internat.exe,那么木马程序就会启动,木马启动之后,会启动隐藏在windowssystem 下的rund11.dll,这是真正的internat.exe.然后木马检测notepad.exe,如果没有被替换就替换它.接着,木马进入监控传奇游戏的状态.
然后,如果用户运行了notepad.exe,木马会检查到自己以notepad.exe的身份运行,然后他会把参数传递给被隐藏为notepad.dll的记事本程序,编辑用户打开的文件,并且,notepad.exe会检测internat.exe的木马是否运行.
如果木马检测到机器有版本较低的木马,将会自动升级,如果在internat.exe位置上的木马没有运行的话就自动运行他.
它的窃密原理
传奇游戏是用delphi开发的,里面的输入框都使用了delphi标准的控件,并且支持windows消息.木马先查找密码框的窗口句柄,然后通过发送wm_gettext消息来获得密码框的内容.并且,不断的获取,直到密码框消失,这样,就能取得最后的密码.
在windo [1] [2] 下一页
|
