柏林童话

病毒名称： Trojan-Downloader.Win32.Cntr.ioq
病毒类型： 蠕虫类
文件 MD5： F8820809EBCAB9AC87CA039A0D974F59
公开范围： 完全公开
危害等级： 4
文件长度： 7,680 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 7.0
传播方式： 利用电子邮件传播
病毒描述该病毒为儒虫类病毒，病毒运行之后创建互斥量“gagagaradio”，防止病毒多次运行，调用HttpOpenRequestA隐藏打开一个超级连接、连接到一个网站，创建一个svcp.csv文件到%System32%目录下，调用API函数InternetReadFile读取网络信息，
将信息保存到svcp.csv文件中，调用InternetQueryDataAvailable函数，在%System32%目录下创建一个back.exe利用远程调用代码技术获取网络信息将病毒数据分段写入该文件中，访问网络判断病毒数据大小是否满足条件如满足则调用下载后的病毒文件运行，并将svcp.csv文件删除，修改及删除注册表，下载后的back.exe行为分析：调用back.exe调用函数，释放驱动文件“glok+3c51-3a43.sys、glok+serv.config”（其中glok为固定不变的其它为随机数字或字母），到%Windir%目录下，EnumServicesStatus 枚举系统服务，判断现有服务是否存在病毒服务，如存在则不创建病毒服务，否则创建病毒病毒服务，在本地按顺序隐藏打开病毒预定好的大量地址。
行为分析-本地行为
1、文件运行后会释放以下文件：
　　　　 %system32%\back.exe 　　　　　　　　92,672 字节
　　　　 %system32%\svcp.csv 　　　　　　　　64 字节
　　　　 %system32%\glok+3c51-3a43.sys 　　 128,640 字节（随机文件名）
　　　　 %system32%\glok+serv.config 　　　 47,901 字节（随机文件名）
　　　　 %system32%\winsub.xml 　　　　　　　4 字节
2、修改注册表项：
　　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　　　　 \Services\W32Time\Parameters\NtpServer
　　　　 新: 字符串: “time.windows.com,time.nist.gov”
　　　　 旧: 字符串: “time.windows.com,0×1″
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　 \Services\W32Time\Parameters\NtpServer
　　　　 新: 字符串: “time.windows.com,time.nist.gov”
　　　　 旧: 字符串: “time.windows.com,0×1″
　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　　　 \ShellNoRoam\Bags\6\Shell\ShowCmd
　　　　 新: DWORD: 1 (0×1)
　　　　 旧: DWORD: 3 (0×3)
　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows
　　　　 \ShellNoRoam\Bags\6\Shell\WFlags
　　　　 新: DWORD: 0 (0)
　　　　 旧: DWORD: 2 (0×2)
3、删除注册表项：
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　 \Enum\Root\LEGACY_GPC\0000\Capabilities
　　　　 值: DWORD: 0 (0)
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　 \Enum\Root\LEGACY_GPC\0000\Class
　　　　 值: 字符串: “LegacyDriver”
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　 \Enum\Root\LEGACY_GPC\0000\ClassGUID
　　　　 值: 字符串: “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　 \Enum\Root\LEGACY_GPC\0000\ConfigFlags
　　　　 值: DWORD: 0 (0)
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　 \Enum\Root\LEGACY_GPC\0000\Control\ActiveService
　　　　 值: 字符串: “Gpc”
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　 \Enum\Root\LEGACY_GPC\0000\DeviceDesc
　　　　 值: 字符串: “Generic Packet Classifier”
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　　　 \Enum\Root\LEGACY_GPC\0000\Legacy
　　　　 值: DWORD: 1 (0×1)
　　　
4、病毒运行之后创建互斥量“gagagaradio”，防止病毒多次运行，调用HttpOpenRequestA隐藏打开一个超级连接、连接到一个网站，创建一个svcp.csv文件到%System32%目录下。
5、调用API函数InternetReadFile读取网络信息，将信息保存到svcp.csv文件中，调用InternetQueryDataAvailable函数，在%System32%目录下创建一个back.exe，利用远程调用代码技术获取网络信息将病毒数据分段写入该文件中，访问网络连接http://213.155.3.**/aff/cntr.php?e=!!45337902_85_1_2_2&x=>=98&y=7621，判断病毒数据大小是否满足条件如满足则关闭网络句丙，调用下载后的病毒文件运行，并将svcp.csv文件删除。
6、下载后的back.exe行为分析：调用back.exe调用函数，释放驱动文件“glok+3c51-3a43.sys、glok+serv.config（其中glok为固定不变的其它为随机数字或字母），到%Windir%目录下，EnumServicesStatus 枚举系统服务，判断现有服务是否存在病毒服务，如存在则不创建病毒服务，否则创建病毒病毒服务，在本地按顺序隐藏打开病毒预定好的大量地址。
行为分析-网络行为
隐藏打开大量病毒预定好的网站地址 。
　　　　　　
注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　 %Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　 %DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　 %ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　 %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　 %Documents and Settings% 　　　当前用户文档根目录
　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　 \当前用户\Local Settings\Temp
　　　　 %System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　 Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　 windows95/98/me中默认的安装路径是C:\Windows\System
　　　　 windowsXP中默认的安装路径是C:\Windows\System32　

(1)使用ATOOL“进程管理”关闭病毒相关进程。
(2) 恢复注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
　 　 \Services\W32Time\Parameters\NtpServer
　 　 新: 字符串: “time.windows.com,time.nist.gov”
　 　 旧: 字符串: “time.windows.com,0×1″
　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 \Services\W32Time\Parameters\NtpServer
　 　 新: 字符串: “time.windows.com,time.nist.gov”
　 　 旧: 字符串: “time.windows.com,0×1″
　 　 HKEY_CURRENT_USER\Software\Microsoft\Windows
　 　 \ShellNoRoam\Bags\6\Shell\ShowCmd
　 　 新: DWORD: 1 (0×1)
　 　 旧: DWORD: 3 (0×3)
　 　 HKEY_CURRENT_USER\Software\Microsoft\Windows
　 　 \ShellNoRoam\Bags\6\Shell\WFlags
　 　 新: DWORD: 0 (0)
　 　 旧: DWORD: 2 (0×2)
　 (3)恢复病毒删除的注册表项：
　 　 删除的注册表项：
　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 \Enum\Root\LEGACY_GPC\0000\Capabilities
　 　 值: DWORD: 0 (0)
　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 \Enum\Root\LEGACY_GPC\0000\Class
　 　 值: 字符串: “LegacyDriver”
　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 \Enum\Root\LEGACY_GPC\0000\ClassGUID
　 　 值: 字符串: “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 \Enum\Root\LEGACY_GPC\0000\ConfigFlags
　 　 值: DWORD: 0 (0)
　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 \Enum\Root\LEGACY_GPC\0000\Control\ActiveService
　 　 值: 字符串: “Gpc”
　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 \Enum\Root\LEGACY_GPC\0000\DeviceDesc
　 　 值: 字符串: “Generic Packet Classifier”
　 　 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　 　 \Enum\Root\LEGACY_GPC\0000\Legacy
　 　 值: DWORD: 1 (0×1)
　 　 HKEY_CURRENT_USER\Software\Microsoft
　　　 \Windows\ShellNoRoam\MUICache
　 　 删除MUICache键下的所有键值
　 (4)删除病毒毒衍生的文件：
　 　 %system32%\back.exe 92,672 字节
　 　 %system32%\svcp.csv 64 字节
　 　 %system32%\glok+3c51-3a43.sys 128,640 字节（随机文件名）
　 　 %system32%\glok+serv.config 47,901 字节（随机文件名）
　 　 %system32%\winsub.xml 4 字节

你可能感兴趣的还有…

• _A00F1C639.exe 病毒查杀 (15)
• Trojan.Win32.Pakes.jsy查杀 (8)
• Trojan.Win32.KillAV.ww查杀 (0)
• Trojan-Downloader.Win32.VB.hnl查杀 (12)
• Trojan-Downloader.Win32.Todon.ae病毒查杀 (5)
• Trojan-Downloader.Win32.Small.zjt查杀 (1)
• Trojan-Downloader.Win32.Small.xwr查杀 (2)
• Trojan-Downloader.Win32.Agent.yko查杀 (2)