【3.A.S.T】网络安全爱好者's Archiver

黑客学习

faye 发表于 2008-7-27 11:10

AclLayer.dll ,DesktopWin.dll 等下载器病毒清除解决方案

AclLayer.dll ,DesktopWin.dll 等下载器病毒清除解决方案
病毒标签:
病毒名称: Trojan-Downloader.Win32.Small.xwr
病毒类型: 木马
文件 MD5: FEFEC24CF9C0E4D1E26498A09D7ED159
公开范围: 完全公开
危害等级: 3
文件长度: 加壳后9,728 字节 脱壳后41,984字节
感染系统: Windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24

病毒描述:
  该病毒为下载类木马,病毒运行后,衍生病毒文件DesktopWin.dll到%Windir%
\AppPatch 下;新增注册表项,创建CLSID值,添加启动项,在
ShellServiceObjectDelayLoad键下添加DesktopWin键值,当系统启动时利用
Explorer.exe进程自动加载病毒组件,并查找此键下是否存在JavaView键值,若存在,
便删除;以命令行方式调用rundll32.exe,由rundll32.exe创建%Windir%
\AppPatch\AclLayer.dll文件;当该病毒执行完自身代码后,会结束自身进程,在
%System32%下衍生unxxx.bat,目的是为了删除该病毒文件和自身;连接网络,下载大
量病毒文件并在本机运行。

行为分析:
本地行为:

1、文件运行后会释放以下文件:

    %Windir%\AppPatch\AclLayer.dll     9,728 字节

    %Windir%\AppPatch\DesktopWin.dll    14,336字节

2、新增注册表:
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}
    \InProcServer32]
    注册表值: "@ "
    类型: REG_SZ
    字符串: "C:\WINDOWS\AppPatch\DesktopWin.dll"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
    \{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}
    \InProcServer32]
    注册表值: "ThreadingModel"
    类型: REG_SZ
    字符串: "Apartment"
    描述:注册CLSID值
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
    \Windows\CurrentVersion
    \ShellServiceObjectDelayLoad]
    注册表值: "DesktopWin"
    类型: REG_SZ
    字符串: "{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}"
    描述: 当系统启动时利用Explorer.exe进程自动加载病毒组件
    
3、 在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
  \ShellServiceObjectDelayLoad]键下查找是否存在JavaView,若存在此项,
  便删除。

4、 以命令行方式调用rundll32.exe,由rundll32.exe创建
  %Windir%\AppPatch\AclLayer.dll文件。

5、 当该病毒执行完自身代码后,会结束自身进程,在%System32%下衍生unxxx.bat,
  目的是为了删除该病毒文件和自身。

网络行为: 
    
    连接网络下载病毒文件,并在本机运行:
    协议:HTTP
    端口:80
    [url=http://60.191.223.]http://60.191.223.[/url]**/11.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
    [url=http://60.191.223.]http://60.191.223.[/url]**/12.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
    [url=http://60.191.223.]http://60.191.223.[/url]**/13.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.said
    [url=http://60.191.223.]http://60.191.223.[/url]**/15.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
    [url=http://60.191.223.]http://60.191.223.[/url]**/16.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
    [url=http://60.191.223.]http://60.191.223.[/url]**/17.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
    [url=http://60.191.223.]http://60.191.223.[/url]**/18.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.satb
    [url=http://60.191.223.]http://60.191.223.[/url]**/19.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sasz
    [url=http://60.191.223.]http://60.191.223.[/url]**/20.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.satc
    [url=http://60.191.223.]http://60.191.223.[/url]**/21.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sasu
    [url=http://60.191.223.]http://60.191.223.[/url]**/22.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sbqw
    [url=http://60.191.223.]http://60.191.223.[/url]**/23.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sata
    [url=http://60.191.239.]http://60.191.239.[/url]***/14.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sata
    [url=http://60.191.239.]http://60.191.239.[/url]***/24.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.savj
    [url=http://60.191.239.]http://60.191.239.[/url]***/25.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.satq
    [url=http://60.191.239.]http://60.191.239.[/url]***/26.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sbpv
    v[url=http://60.191.239.]http://60.191.239.[/url]***/A.gif
    病毒名:Trojan.Win32.Agent.qnz
    [url=http://60.191.239.]http://60.191.239.[/url]***/C.gif
    病毒名:Trojan-Downloader.Win32.Small.xwr
    [url=http://60.191.239.]http://60.191.239.[/url]***/D.gif
    病毒名:Trojan.Win32.Agent.qnw

    协议:DNS
    端口:53
    [url=http://60.191.223.]http://60.191.223.[/url]**/moon.asp
    病毒名:Trojan-Spy.Win32.FtpSend.b
    [url=http://125.83.89.]http://125.83.89.[/url]**/1.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxyp
    [url=http://125.83.89.]http://125.83.89.[/url]**/2.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
    [url=http://125.83.89.]http://125.83.89.[/url]**/4.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sasv
    [url=http://125.83.89.]http://125.83.89.[/url]**/5.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxwy
    [url=http://222.216.28.]http://222.216.28.[/url]***/6.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sats
    [url=http://222.216.28.]http://222.216.28.[/url]***/7.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxxa
    [url=http://222.216.28.]http://222.216.28.[/url]***/8.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxxp
    [url=http://222.216.28.]http://222.216.28.[/url]***/9.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.rxxz
    [url=http://222.216.28.]http://222.216.28.[/url]***/10.gif
    病毒名:Trojan-GameThief.Win32.OnLineGames.sasr

注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
  
    %Windir%             WINDODWS所在目录
    %DriveLetter%          逻辑驱动器根目录
    %ProgramFiles%          系统程序默认安装目录
    %HomeDrive%           当前启动的系统的所在分区
    %Documents and Settings%    当前用户文档根目录
    %Temp%             \Documents and Settings
                    \当前用户\Local Settings\Temp
    %System32%           系统的 System32文件夹
    
    Windows2000/NT中默认的安装路径是C:\Winnt\System32
    windows95/98/me中默认的安装路径是C:\Windows\System
    windowsXP中默认的安装路径是C:\Windows\System32  
        

    

--------------------------------------------------------------------------------
清除方案:
  1 、使用安天防线2008可彻底清除此病毒(推荐),
   请到安天网站下载: [url=http://www.antiy.com]www.antiy.com[/url] 
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
  (1)使用ATOOL进程管理结束rundll32.exe进程。
  (2)删除病毒衍生的文件:
    %Windir%\AppPatch\AclLayer.dll
    %Windir%\AppPatch\DesktopWin.dll
    %Windir%\AppPatch\AcSpecf.dll
    %Windir%\AppPatch\AcXtrnel.bpl
    %Windir%\Downloaded Program Files\ThunderAdvise.dll
    %System32%\aitlasys.exe
    %System32%\akjsfkaq.dll
    %System32%\apsggjba.dll
    %System32%\apzhctde.dll
    %System32%\axmsawin.exe
    %System32%\azcbaime.exe
    %System32%\azwlaime.exe
    %System32%\azzxaime.exe
    %System32%\ciwdaapi.sys
    %System32%\dazfajke.exe
    %System32%\dehxaklo.exe
    %System32%\detxbiua.dll
    %System32%\drivers\eth8023.sys
    %System32%\dtzfajke.sys
    %System32%\erjxakin.sys
    %System32%\fd233ds4f3.dll
    %System32%\fdtxaiua.exe
    %System32%\fstlbsys.sys
    %System32%\fxcbbime.sys
    %System32%\fxwlbime.sys
    %System32%\fxzxbime.sys
    %System32%\fzmsbwin.sys
    %System32%\gajzalit.sys
    %System32%\gpsgajba.sys
    %System32%\gpzhatde.sys
    %System32%\gsdhadwd.sys
    %System32%\hdf453d.dll
    %System32%\ictxaiua.sys
    %System32%\ijsgajba.sys
    %System32%\ijzhatde.sys
    %System32%\isdsasrv.exe
    %System32%\ismhasrv.exe
    %System32%\jkhxaklo.dll
    %System32%\lpmxajkl.exe
    %System32%\lpsgajba.exe
    %System32%\lpzhatde.exe
    %System32%\mkjsakaq.exe
    %System32%\mndhfdwd.dll
    %System32%\mndshsrv.dll
    %System32%\mnmhgsrv.dll
    %System32%\mpwdeapi.dll
    %System32%\ngjxakin.sys
    %System32%\nhmxejkl.dll
    %System32%\onjzalit.exe
    %System32%\ozfyebyt.dll
    %System32%\pldhadwd.exe
    %System32%\pqzfajke.dll
    %System32%\pzwlaime.sys
    %System32%\qbhxaklo.sys
    %System32%\rijxbkin.dll
    %System32%\rnmxajkl.sys
    %System32%\sdjsakaq.sys
    %System32%\simyaapi.exe
    %System32%\siwdaapi.exe
    %System32%\smdsbsrv.sys
    %System32%\smmhbsrv.sys
    %System32%\snfybbyt.sys
    %System32%\spmybapi.sys
    %System32%\spwdbapi.sys
    %System32%\sqjsakaq.sys
    %System32%\stjxakin.exe
    %System32%\tjfyabyt.exe
    %System32%\vlhxaklo.sys
    %System32%\wymxajkl.sys
    %System32%\xzcsbhlp.sys
    %System32%\yxcschlp.dll
    %System32%\zptlcsys.dll
    %System32%\zxcsahlp.exe
    %System32%\zxmsewin.dll
    %System32%\zycbdime.dll
    %System32%\zywlcime.dll
    %System32%\zyzxjime.dll
  (3)删除病毒添加的

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.