對 Trojan.DL.Win32.Mnless.yxx / alg.exe 的一點分析
endurer 原創
2008-02-21 第1版
就是
Worm.Win32.Diskgen.gen/磁碟機也捎帶廣告?
http://blog.csdn.net/Purpleendurer/archive/2008/02/20/2110363.aspx
中的捕獲的一個病毒檔案。
檔案說明符 : C:/WINDOWS/system32/drivers/alg.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2008-2-18 16:17:10
修改時間 : 2008-2-18 16:17:12
訪問時間 : 2008-2-18 0:0:0
大小 : 18829 位元組 18.397 KB
MD5 : e6b26c23fda20664844d870a662190da
SHA1: 30930C99E99E108AC8B06D19DB9D2056A552DD82
CRC32: ad1b25ac
Kaspersky 報為 Trojan-Downloader.Win32.Agent.iqj,瑞星報為 Trojan.DL.Win32.Mnless.yxx
alg.exe運行後會:
1.執行命令:
ping.exe www.baidu.com
arp.exe -s (將IP與MAC綁定)
arp.exe -d (清空ARP緩衝)
2.加入代碼:
/---
<script src=hxxp://y**.g***xg*xy.net/1.js></script>
---/
hxxp://y**.g***xg*xy.net/1.js為一個 包含“百萬Q幣大放送”等虛假資訊的網頁
3.下載、運行 hxxp://y**.g***xg*xy.net/setup.exe
檔案說明符 : D:/test/setup.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2008-2-18 21:41:59
修改時間 : 2008-2-18 21:42:0
訪問時間 : 2008-2-18 22:18:54
大小 : 144381 位元組 140.1021 KB
MD5 : 8e23a5a2b949cb6c2c2b4037684219d1
Kaspersky 報為 Virus.Win32.Xorer.dr,其實為一個自解壓程式:
;下面的注釋包含自釋放指令碼命令
Setup=Setup.exe
TempMode
Silent=1
Overwrite=1
檔案說明符 : D:/test/setup/Setup.exe
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2008-2-18 21:44:15
修改時間 : 2008-2-16 12:49:2
訪問時間 : 2008-2-18 22:19:13
大小 : 95744 位元組 93.512 KB
MD5 : 13949cf3910b0d255439136ec1b6cd78
SHA1: 4D873D332FEDDEF66B90940CA18418FE91833EA7
CRC32: 652ce9ac
Setup.exe運行後
1、釋放驅動: NetApi000.sys、檔案:00302.log、cfg.dll、C:/WINDOWS/system32/Com/netcfg.000、C:/WINDOWS/system32/Com/netcfg.dll
C:/WINDOWS/system32/Com/SMSS.EXE等檔案
並用命令regsvr32.exe /s 註冊其中的DLL檔案
2、會將自己複製到:
1)C:/WINDOWS/system32/Com,檔案名稱:lsass.exe
2)C:/Documents and Settings/All Users/「開始」菜單/程式/啟動 檔案夾中,檔案名稱格式為 ~.exe.*******.exe(其中*為數字)
3)各硬碟分區。檔案名稱為pagefile.pif,相應的autorun.inf檔案也會被建立
3、掃描、修改登錄機碼,如:
安全啟動項:
SYSTEM/CurrentControlSet/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Network/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
SYSTEM/ControlSet001/Control/SafeBoot/Minimal/{4D36E967-E325-11CE-BFC1-08002BE10318}
系統安全防護軟體的服務項:
SYSTEM/CurrentControlSet/Services/EQService
SYSTEM/CurrentControlSet/Services/HookSys
SYSTEM/CurrentControlSet/Services/McShield
SYSTEM/CurrentControlSet/Services/tmmbd
SYSTEM/CurrentControlSet/Services/PAVSRV
SYSTEM/CurrentControlSet/Services/SymEvent
SYSTEM/CurrentControlSet/Services/ekrn
SYSTEM/CurrentControlSet/Services/KAVBase
SYSTEM/CurrentControlSet/Services/klif
SYSTEM/CurrentControlSet/Services/AntiVirService
SYSTEM/CurrentControlSet/Services/MPSVCService
4、狙擊常見安全軟體。如:avast、itdefender、ewido、微點、費爾、eset、avg、dr.web等
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
