Trojan/Win32.TDSS.eyj[Rootkit]分析

最新推荐文章于 2023-01-07 19:36:37 发布

zacklin

最新推荐文章于 2023-01-07 19:36:37 发布

阅读量1.4k

点赞数

分类专栏： window系统内核编程软件安全文章标签： microsoft windows user system application 工具

本文链接：https://blog.csdn.net/zacklin/article/details/7779023

版权

window系统内核编程同时被 2 个专栏收录

127 篇文章 11 订阅

订阅专栏

软件安全

52 篇文章 2 订阅

订阅专栏

病毒标签：

病毒名称： Trojan/Win32.TDSS.eyj[Rootkit]
病毒类型：后门
文件 MD5： 45433E3C1489F1F64798BC82BFA21864
公开范围：完全公开
危害等级： 4
文件长度： 23,040 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0

病毒描述：

该病毒为后门类病毒，病毒运行之后，复制自身到%Temp%目录下，重命名为：~TM2.tmp，使用Rootkit技术在系统中隐藏自身行为，连接网络下载3个病毒文件（该病毒文件下载的文件可能随时间变化不定），将下载的病毒文件保存到%Temp%目录下，病毒运行完毕后删除自身文件。
病毒会连接网络下载以下文件并运行：
1、http://www.onlineanalytics**.cn/test/ldr.exe
ldr.exe行为分析：病毒运行后删除"proquota.exe"（代理配置工具）文件，并添加注册表项，该文件被删除后，攻击者就可以在没有任何资源限制的情况下处理系统，病毒运行完毕后删除自身。
2、http://94.142.1**.160/myfiles/95/411/file.exe
经分析该连接地址失效。
3、http://orzsys**.cc/files/20024.exe
20024.exe行为分析：病毒运行后，连接网络下载广告件，该敲诈广告件为杀毒工具广告件，未经过用户许可的情况下主动扫描本地磁盘，并提示检测到大量安全威胁病毒文件，欺骗用户注册，让用户汇款购买该广告件。
Trojan/Win32.TDSS.eyj[Rootkit]分析

行为分析-本地行为：

1、文件运行后会释放以下文件
%Documents and Settings%\All Users\Application Data\CrucialSoftLtd\MS AntiSpyware 2009\msas2009.exe
%Documents and Settings%\当前所在用户\「开始」菜单\程序\MS AntiSpyware 2009\MSAntiSpyware 2009.lnk%WINDOWS%\39.exe

2、修改注册表、添加注册表启动项及安装升级信息
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableProfileQuota
值: DWORD: 1 (0x1)
描述：限制漫游用户配置文件的大小

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSAntiSpyware 2009
值: 字符串: ""C:\Documents and Settings\All Users\ApplicationData\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe"/autorun"
描述：添加注册表启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\DisplayName
值: 字符串: "MS AntiSpyware 2009"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\DisplayVersion
值: 字符串: "5.7"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\HelpLink
值: 字符串: "http://www.antispyme.com/"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\InstallLocation
值: 字符串: "C:\Documents and Settings\All Users\ApplicationData\CrucialSoft Ltd\MS AntiSpyware 2009"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\NoModify
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\NoRepair
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\Publisher
值: 字符串: "CrucialSoft Ltd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\UninstallString
值: 字符串: "C:\Documents and Settings\All Users\ApplicationData\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe/uninstall"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\URLInfoAbout
值: 字符串: "http://www.antispyme.com/"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7\URLUpdateInfo
值: 字符串: "http://www.antispyme.com/"
描述：病毒添加注册表的安装信息及升级地址

行为分析-网络行为：

协议：TCP
端口：80
连接服务器名：
http://94.142.1**.160/myfiles/95/411/file.exe
http://orzsys**.cc/files/20024.exe
http://www.onlineanalytics**.cn/test/ldr.exe
描述：连接以上地址下载恶意病毒文件及广告件

安装完毕后连接到以下域名记录安装信息：
int.msproreport1**.com/stat.php?func=installrun&id=200025&landing=-1&lang=EN&sub=20024
dl.antivir-storage-ms**.com/get/?pin=200025&lnd=-1&type=scanner
int.ms-asreport1**.com/stat.php?func=install&uid=MjAwMDI1_MjAwMjQ=_MDBGQzQ4NTA=&landing=-1
int.ms-asreport1**.com/stat.php?func=ok

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% 　　　　　　　　　　 WINDODWS所在目录
%DriveLetter%　　　　　　　　逻辑驱动器根目录
%ProgramFiles%　　　　　　　系统程序默认安装目录
%HomeDrive% 　　　　　　　　　当前启动的系统的所在分区
%Documents and Settings% 　　　当前用户文档根目录
%Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\LocalSettings\Temp
%System32% 　　　　　　　　　　系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%

清除方案：

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com/download.htm)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/atool.htm)。

（1）使用ATOOL管理工具打开“进程管理”结束病毒进程，恢复被删除的proquota.exe文件，可以在其它系统上拷贝一份到本地%System32%目录下。

（2）强行删除病毒下载的大量病毒文件
%Documents and Settings%\All Users\Application Data\CrucialSoftLtd\MS AntiSpyware 2009\msas2009.exe
%Documents and Settings%\当前所在用户\「开始」菜单\程序\MS AntiSpyware 2009\MSAntiSpyware 2009.lnk%WINDOWS%\39.exe

（3）删除病毒创建的启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSAntiSpyware 2009
删除Run键下MS AntiSpyware 2009键值

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\uninstall\MSAntiSpyware 2009 5.7
删除uninstall键下S AntiSpyware 2009 5.7主键值

zacklin

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Trojan/Win32.TDSS.eyj[Rootkit]分析

病毒标签：病毒名称： Trojan/Win32.TDSS.eyj[Rootkit]病毒类型：后门文件 MD5： 45433E3C1489F1F64798BC82BFA21864公开范围：完全公开危害等级： 4文件长度： 23,040 字节感染系统： Windows98以上版本开发工具： Microsoft Visual C++ 6.0病毒描述：该病毒为后
复制链接

扫一扫