- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
作者:Greysign
一、 病毒标签:
病毒名称: Trojan-Downloader.Win32.Agent.ibh
病毒类型: 下载者
文件大小 : 253553 byte
MD5 : 04ecdeaaea8b8e85431afaf3e278722e
SHA1 : 004808a66f612169fdbdcda6eb48cfd3938b8972
公开范围: 完全公开
危害等级: B
开发工具:Microsoft Visual C++
命名对照:
金山毒霸 Win32.Troj.DownLoaderT.ib.997376
二、 病毒描述:
该病毒为机器狗新变种,运行后通过CACLS命令更改分区的用户权限,再连接网络下载大量病毒并运行,并打开DLLCACHE的EXPLORER。
三、 行为分析:
运行后,通过DOS命令CACLS更改分区用户权限方便下载病毒运行。
连接网络,读取http://dow2.boyxx.us/ggg.txt,获取病毒地址列表并下载至系统目录运行。
http://dow2.boyxx.us/ggg.txt的内容:
22:http://59.60.154.154/2a.exe
22:http://59.60.154.154/3a.exe
22:http://59.60.154.154/4a.exe
22:http://59.60.154.154/5a.exe
22:http://59.60.154.154/6a.exe
22:http://59.60.154.154/7a.exe
22:http://59.60.154.154/8a.exe
22:http://59.60.154.154/9a.exe
22:http://59.60.154.154/10a.exe
22:http://59.60.154.154/11a.exe
22:http://59.60.154.154/12a.exe
22:http://59.60.154.154/13a.exe
22:http://59.60.154.154/14a.exe
22:http://59.60.154.154/15a.exe
22:http://dow.183858.com:81/16a.exe
22:http://dow.183858.com:81/17a.exe
22:http://dow.183858.com:81/18a.exe
22:http://dow.183858.com:81/19a.exe
22:http://dow.183858.com:81/20a.exe
22:http://dow.183858.com:81/21a.exe
22:http://dow.183858.com:81/22a.exe
22:http://dow.183858.com:81/23a.exe
22:http://dow.183858.com:81/24a.exe
22:http://dow.183858.com:81/25a.exe
大部分病毒为盗号木马。
下载至:
c:\WINDOWS\system32\drivers\10a.exe
Size: 15,071 bytes
c:\WINDOWS\system32\drivers\10a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\11a.exe
Size: 17,312 bytes
c:\WINDOWS\system32\drivers\11a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\12a.exe
Size: 17,956 bytes
c:\WINDOWS\system32\drivers\12a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\13a.exe
Size: 12,678 bytes
c:\WINDOWS\system32\drivers\13a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\14a.exe
Size: 16,387 bytes
c:\WINDOWS\system32\drivers\14a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\15a.exe
Size: 15,850 bytes
c:\WINDOWS\system32\drivers\15a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\16a.exe
Size: 34,444 bytes
c:\WINDOWS\system32\drivers\16a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\17a.exe
Size: 18,018 bytes
c:\WINDOWS\system32\drivers\17a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\18a.exe
Size: 16,992 bytes
c:\WINDOWS\system32\drivers\18a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\19a.exe
Size: 16,135 bytes
c:\WINDOWS\system32\drivers\19a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\20a.exe
Size: 18,622 bytes
c:\WINDOWS\system32\drivers\20a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\21a.exe
Size: 19,300 bytes
c:\WINDOWS\system32\drivers\21a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\22a.exe
Size: 18,224 bytes
c:\WINDOWS\system32\drivers\22a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\23a.exe
Size: 17,852 bytes
c:\WINDOWS\system32\drivers\23a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\24a.exe
Size: 17,770 bytes
c:\WINDOWS\system32\drivers\24a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\25a.exe
Size: 1,308 bytes
c:\WINDOWS\system32\drivers\2a.exe
Size: 13,336 bytes
c:\WINDOWS\system32\drivers\2a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\3a.exe
Size: 17,438 bytes
c:\WINDOWS\system32\drivers\3a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\4a.exe
Size: 21,784 bytes
c:\WINDOWS\system32\drivers\4a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\5a.exe
Size: 19,174 bytes
c:\WINDOWS\system32\drivers\5a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\6a.exe
Size: 20,140 bytes
c:\WINDOWS\system32\drivers\6a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\7a.exe
Size: 17,416 bytes
c:\WINDOWS\system32\drivers\7a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\8a.exe
Size: 31,141 bytes
c:\WINDOWS\system32\drivers\8a.txt
Size: 2 bytes
c:\WINDOWS\system32\drivers\9a.exe
Size: 17,924 bytes
c:\WINDOWS\system32\drivers\9a.txt
Size: 2 bytes
解决方案:
屏蔽http://59.60.154.154与http://dow2.boyxx.us
强制删除文件:
c:\WINDOWS\system32\drivers\10a.exe
c:\WINDOWS\system32\drivers\10a.txt
c:\WINDOWS\system32\drivers\11a.exe
c:\WINDOWS\system32\drivers\11a.txt
c:\WINDOWS\system32\drivers\12a.exe
c:\WINDOWS\system32\drivers\12a.txt
c:\WINDOWS\system32\drivers\13a.exe
c:\WINDOWS\system32\drivers\13a.txt
c:\WINDOWS\system32\drivers\14a.exe
c:\WINDOWS\system32\drivers\14a.txt
c:\WINDOWS\system32\drivers\15a.exe
c:\WINDOWS\system32\drivers\15a.txt
c:\WINDOWS\system32\drivers\16a.exe
c:\WINDOWS\system32\drivers\16a.txt
c:\WINDOWS\system32\drivers\17a.exe
c:\WINDOWS\system32\drivers\17a.txt
c:\WINDOWS\system32\drivers\18a.exe
c:\WINDOWS\system32\drivers\18a.txt
c:\WINDOWS\system32\drivers\19a.exe
c:\WINDOWS\system32\drivers\19a.txt
c:\WINDOWS\system32\drivers\20a.exe
c:\WINDOWS\system32\drivers\20a.txt
c:\WINDOWS\system32\drivers\21a.exe
c:\WINDOWS\system32\drivers\21a.txt
c:\WINDOWS\system32\drivers\22a.exe
c:\WINDOWS\system32\drivers\22a.txt
c:\WINDOWS\system32\drivers\23a.exe
c:\WINDOWS\system32\drivers\23a.txt
c:\WINDOWS\system32\drivers\24a.exe
c:\WINDOWS\system32\drivers\24a.txt
c:\WINDOWS\system32\drivers\25a.exe
c:\WINDOWS\system32\drivers\2a.exe
c:\WINDOWS\system32\drivers\2a.txt
c:\WINDOWS\system32\drivers\3a.exe
c:\WINDOWS\system32\drivers\3a.txt
c:\WINDOWS\system32\drivers\4a.exe
c:\WINDOWS\system32\drivers\4a.txt
c:\WINDOWS\system32\drivers\5a.exe
c:\WINDOWS\system32\drivers\5a.txt
c:\WINDOWS\system32\drivers\6a.exe
c:\WINDOWS\system32\drivers\6a.txt
c:\WINDOWS\system32\drivers\7a.exe
c:\WINDOWS\system32\drivers\7a.txt
c:\WINDOWS\system32\drivers\8a.exe
c:\WINDOWS\system32\drivers\8a.txt
c:\WINDOWS\system32\drivers\9a.exe
c:\WINDOWS\system32\drivers\9a.txt
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
A级
大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。
D级
有极少量感染流行,但有一定潜在威胁。
E级
没有发现感染流行。 |
|
IP卡
狗仔卡
发表于 2008-2-14 19:38:28
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡