바이러스 이름: Backdoor/Win32.Agent.uzw 분석
바이러스 유형: Backdoor
파일 MD5: F828D20FFB075B69E481BA089AE1B26B
공개 범위: 전체 공개
위험 수준: 5
파일 길이: 30,208바이트
감염된 시스템: Windows 98 이상
개발 도구: Microsoft Visual C++ 6.0
패킹 유형: UPX 0.89.6 - 1.02 / 1.05 - 1.24
[이 단락 편집] 바이러스 설명
이 바이러스는 백도어 클래스입니다. , 바이러스가 실행된 후 디버거를 검색하고 프로세스를 탐색하여 지정된 프로세스 이름을 찾습니다. 디버거가 있거나 지정된 프로세스 이름이 포함된 경우 바이러스는 시스템에서 파생된 이름으로 지정된 서비스를 종료합니다. 임시 디렉토리는 "dll*** .dll"(***는 임의의 숫자) 파일입니다. 파생된 dll 파일을 로드합니다. 배치 파일을 임시 디렉터리로 삭제한 후 바이러스 본문과 배치 자체를 삭제하는 과정에서 파생됩니다. 파생된 동적 링크 라이브러리 파일이 로드된 후 Nskhelper2.sys 파일을 시스템 디렉터리로 파생시키고 NsDlRk250 이벤트를 생성하고 현재 시스템 시간을 감지하고 연도가 2008보다 크면 실행을 종료합니다. 그렇지 않으면 원격 스레드를 생성합니다. 네트워크에 연결하여 바이러스 파일을 다운로드하고, 다수의 이미지 하이재킹을 추가하고, 호스트 파일을 수정하고, 각 디스크 루트 디렉터리에서 바이러스 파일 및 autorun.inf 파일을 파생시키고, 시스템 디렉터리에서 다른 드라이버 파일을 릴리스하는 등의 작업을 수행합니다. appwinproc.dll을 시스템 디렉터리에 추가하고 지정된 문자열이 포함된 제목을 탐지하고 해당 프로세스를 종료합니다. 감염된 컴퓨터가 종료된 후 바이러스 프로그램은 닫힌 서비스에 해당하는 이미지 파일을 감염시킵니다.
[이 단락 편집] 행동 분석
로컬 행동
1. 파일 실행 후 다음 파일이 해제됩니다
%DriveLetter%\ autorun.inf
%Documents and Settings%\Administrator\Local Settings\Temp\dll62.dll
%DriveLetter%\system.dll
< p> %System32%\appwinproc.dll%System32%\drivers\etc\hosts
%System32%\Nskhelper2.sys
%System32%\ NsPass0.sys
%System32%\NsPass1.sys
%System32%\NsPass2.sys
%System32%\NsPass3.sys
< p> %System32% \NsPass4.sys%HomeDrive%\system.dll
%HomeDrive%\autorun.inf
2. 새 레지스트리 추가< /p>< p> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"Hijacked file name"]
레지스트리 값: "디버거"
유형 : REG_SZ
값: "svchost.exe"
하이재킹된 파일 이름 목록은 다음과 같습니다:
360safe.exe, 360safebox.exe, 360tray. exe, ACKWIN32 .exe, ANTI-TROJAN.exe, anti.exe, antivir.exe, atrack.exe, AUTODOWN.exe, AVCONSOL.exe, AVE32.exe, AVGCTRL.exe, avk.exe, AVKSERV.exe, avp. exe, AVPUPD .exe, AVSCHED32.exe, avsynmgr.exe, AVWIN95.exe, avxonsol.exe, BLACKD.exe, BLACKICE.exe, CCenter.exe, CFIADMIN.exe, CFIAUDIT.exe, CFIND.exe, cfinet.exe, cfinet32.exe, CLAW95.exe, CLAW95CT.exe, CLEANER.exe, CLEANER3.exe, DAVPFW.exe, dbg.exe, debu.exe, DV95.exe, DV95_O.exe, DVP95.exe, ECENGINE.exe, EFINET32. exe, ESAFE .exe, ESPWATCH.exe, exploreclass.exe, F-AGNT95.exe, F-PROT.exe, f-prot95.exe, f-stopw.exe, FINDVIRU.exe, fir.exe, fp-win. exe, FRW .exe, IAMAPP.exe, IAMSERV.exe, IBMASN.exe, IBMAVSP.exe, ice.exe, IceSword.exe, ICLOAD95.exe, ICLOADNT.exe, ICMOON.exe, ICSSUPPNT.exe, iom.exe, iomon98.exe, JED.exe, Kabackr
eport.exe, Kasmain.exe, kav32.exe, kavstart.exe, Kissvc.exe, KPFW32.exe, kpfwsvc.exe, KPPMain.exe, KRF.exe, KVMonXP.exe, KVPreScan.exe, kwatch.exe, lamapp. exe, lockdown2000.exe, LOOKOUT.exe, luall.exe, LUCOMSERVER.exe, mcafee.exe, microsoft.exe, mon.exe, moniker.exe, MOOLIVE.exe, MPFTRAY.exe, ms.exe, N32ACAN.exe, navapsvc.exe, navapw32.exe, NAVLU32.exe, NAVNT.exe, navrunr.exe, NAVSCHED.exe, NAVW.exe, NAVW32.exe, navwnt.exe, nisserv.exe, nisum.exe, NMAIN.exe, NORMIST. exe, norton.exe, NUPGRADE.exe, NVC95.exe, office.exe, OUTPOST.exe, PADMIN.exe, PAVCL.exe, pcc.exe, PCCClient.exe, pccguide.exe, pcciomon.exe, pccmain.exe, pccwin98.exe, PCFWALLICON.exe, PERSFW.exe, PpPpWallRun.exe, program.exe, prot.exe, pview95.exe, ras.exe, Rav.exe, RAV7.exe, rav7win.exe, RavMon.exe, RavMonD. exe, RavStub.exe, RavTask.exe, regedit.exe, Rescue32.exe, Rfw.exe, rn.exe, safeboxTray.exe, safeweb.exe, 사기32.exe, scan.exe, SCAN32.exe, SCANPM.exe, scon.exe, SCRSCAN.exe, secu.exe, SERV95.exe, sirc32.exe, SMC.exe, smtpsvc.exe, SPHINX.exe, spy.exe, sreng.exe, SWEEP95.exe, Symproxysvc.exe, TBSCAN. exe, TCA.exe, TDS2-98.exe, TDS2-NT.exe, Tmntsrv.exe, TMOAgent.exe, tmproxy.exe, tmupdito.exe, TSC.exe, UlibCfg.exe, vavrunr.exe, VET95.exe, VETTRAY.exe, vir.exe, VPC32.exe, VSECOMR.exe, vshwin32.exe, VSSCAN40, vsstat.exe, WEBSCAN.exe, WEBSCANX.exe, webtrap.exe, WFINDV32.exe, Windows 최적화 master.exe, 윙크. exe,
서비스 경로는 %System32% 디렉터리에 있는 해당 드라이버 파일입니다.
3. 검색된 특정 프로세스 이름은 다음과 같습니다:
OllyDbg.exe, OllyICE.exe, PEditor.exe, LordPE.exe, C32Asm.exe, ImportREC.exe
p >
4. 비활성화된 서비스 목록은 다음과 같습니다.
Schedule, AppMgmt, srservice, W32Time, stisvc
해당 서비스 이름은
< p> 애플리케이션 관리, 작업 스케줄러, 시스템 복원 서비스, Windows 이미지 인식(WIA), Windows 시간5. 호스트 파일 수정 및 일부 보안 웹 사이트 차단
추가된 목록은 다음과 같습니다. 다음과 같습니다:
p>
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www. 360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
< p> 127.0.0.1 Union.kingsoft.com127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com .cn
127.0 .0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
< p> 127.0.0.1 www.lanniao.org127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
< p> 127.0.0.1 www.virustotal.com127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
6. 각 드라이브의 루트 디렉터리에 있는 파생된 바이러스 파일 및 autorun.inf 파일에서
Autorun.inf 파일의 데이터 형식은 다음과 같습니다.
< p> [자동 실행]shell\open\ command=rundll32 system.dll,탐색
shell\explore\command=rundll32 system.dll,탐색
7. 창 지정 문자열 목록
Kingsoft Antivirus, 360 Security Guard, Jiangmin, Trojan, 특수 킬, 다운로더, NOD32, Kaspersky, M
cAfee, Super Patrol, Qihoo, Antivirus...
8. 감염된 시스템 파일
감염된 시스템 파일은 다음과 같습니다:
%System32%\appmgmts.
%System32%\schedsvc.dll
%System32%\srsvc.dll
%System32%\w32time.dll
% System32%\wiaservc.dll
감염 방법은 다음과 같습니다.
바이러스 파일 "system.dll"의 코드를 파일의 선두부터 작성합니다. 완료될 때까지.
네트워크 동작
네트워크에 연결하여 바이러스 목록을 다운로드하고, 바이러스 목록에 따라 바이러스 파일을 다운로드한 후 파일을 실행합니다.
/count.txt
내용은 다음과 같습니다:
/ly/a4.exe
/ly/a1.exe
/ly/a3 .exe
/ly/a10.exe
/ly/a40.exe
/ly/a25.exe
/ly /a13.exe
/ly/a36.exe
/ly/a41.exe
/ly/a9.exe
/ly/a49.exe
/ly/a23.exe
/ly/a32.exe
/ly/a42.exe
< p>/hm/b12.exe/hm/b17.exe
/hm/b13.exe
/hm/b35.exe
/hm/b15.exe
/hm/b7.exe
/hm/b21.exe
/hm/b44.exe< /p>
/hm/b3 .exe
/hm/b10.exe
/hm/b5.exe
/hm/b8. exe
/hm /b2.exe
/hm/b4.exe
/hm/b11.exe
/hm/ b1.exe
/bm/c1.exe
/bm/c2.exe
/bm/c3.exe
/ vip/aaa.exe
< p>/vip/cj.exe참고: %System32%는 변수 경로입니다. 바이러스는 운영 체제에 쿼리하여 현재 시스템 폴더의 위치를 확인합니다. Windows2000/NT의 기본 설치 경로는 C:\Winnt\System32이고, windows95/98/me의 기본 설치 경로는 C:\Windows\System이며, windowsXP의 기본 설치 경로는 C:\Windows\System32입니다.
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 현재 사용자 TEMP 캐시 변수
%Windir%\ WINDODWS가 위치한 디렉터리
< p> %DriveLetter%\ 논리 드라이브 루트 디렉터리%ProgramFiles%\ 시스템 프로그램의 기본 설치 디렉터리
%HomeDrive% = C:\ 현재 부팅된 시스템이 위치한 파티션
< p> %문서 및 설정%\ 현재 사용자 문서 루트 디렉터리[이 단락 편집] 정리 계획
1. 네트워크 연결을 끊습니다.
2. Antiy Defense Line을 사용하여 이 바이러스를 완전히 제거하십시오(권장). Antiy Defense Line을 무료로 다운로드하려면 여기를 클릭하십시오.
Antiy Defense Tool의 "서비스 관리"를 사용하여 다음 서비스를 종료하세요.
애플리케이션 관리
작업 스케줄러
시스템 복원 서비스< /p>
Windows 이미지 인식(WIA)
Windows 시간
3. 컴퓨터를 다시 시작한 후 다음 파일을 삭제합니다.
%DriveLetter%\autorun .inf
%Documents and Settings%\Administrator\Local Settings\Temp\dll62.dll
%DriveLetter%\system.dll
%System32%\ appwinproc .dll
%System32%\drivers\etc\hosts
%System32%\Nskhelper2.sys
%System32%\NsPass0.sys
%System32%\NsPass1.sys
%System32%\NsPass2.sys
%System32%\NsPass3.sys
%System32%\ NsPass4 .sys
%HomeDrive%\system.dll
%HomeDrive%\autorun.inf
%System32%\appmgmts.dll
%System32%\schedsvc.dll
%System32%\srsvc.dll
%System32%\w32time.dll
%System32%\wiaservc. dll
4. 일반 컴퓨터에서 다음 파일을 %System32% 디렉터리로 복사합니다.
%System32%\appmgmts.dll
%System32%\schedsvc .dll
%System32%\srsvc.dll
%System32%\w32time.dll
%System32%\wiaservc.dll
5, 바이러스에 의해 추가된 모든 이미지 하이재킹 레지스트리 항목 삭제;
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\"Hijacked file name"]
바이러스에 의해 추가된 서비스 레지스트리 키 삭제
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\"Service Name"]