病毒名称： Trojan-Downloader.Win32.Agent.yko

病毒类型： 蠕虫

文件 MD5： 37366A95A5D0FD0664CDAC6512DC77A5

公开范围： 完全公开

危害等级： 4

文件长度： 77,312 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 – 7.0

加壳类型： ASPack 2.12 -> Alexey Solodovnikov

病毒描述

该病毒为刷流量病毒，病毒运行后加载动态链接库urlmon.dll，获取%Temp%临时文件夹目录，利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名），在%system32%\oobe目录下利用命令行方式创建一个windows下删不掉的文件夹命名为：“bak..”，将%Temp%临时文件夹TBHAILYFXYV.zbc文件，利用命令行方式拷贝到%system32%\oobe\bak.目录下，命名为：Outputbat.txt，作为作为代码的备份，遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc（随机病毒名）， 将文件时间值转换成DOS日期和时间值，并在临时目录下创建一个后缀以EXE同名的文件，获取MZP头以命令行方式将病毒打包成自解压文件并设置密码为：“logved*log;7^5#;tvn”，以达到杀毒软件无法解压文件而不能查杀该病毒文件的目的，在DOS下使用命令行解压文件install.exe，并以命令行方式启动该文件，在%system32%\oobe\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象，病毒文件并创建一个名为5046（4位随机数字）并释放一个病毒文件svchost.exe到该目录下，创建该病毒进程，该文件用来定时隐藏打开大量的网页地址，添加注册表启动项，穿过windows自带防火墙，执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除，最后创建$$30689.bat批处理文件删除病毒原文件。

行为分析-本地行为

1、文件运行后会释放以下文件

%system32%\302fcc88b1.dll 92,672 字节 (10位随机数字与字母组合病毒名)

%windir%\f218f4fbb2.dll 64 字节 (10位随机数字与字母组合病毒名)

%system32%\oobe\0755\svchost.exe 871,936 字节 (4位随机数字文件夹名)

%system32%\oobe\qnujhyroni.dll 563,712 字节

2、修改注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\InprocServer32\@

值: 字符串: “C:\WINDOWS\system32\oobe\unkgknroni.dll”

描述：添加注册表启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\ProgID\@

值: 字符串: “unkgknroni.XunBHoSwf”

描述：病毒文件注册为BHO的名称

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unkgknroni.XunBHoSwf\Clsid\@

值: 字符串: “{03C12478-A0D3-4291-A535-F6D16BA08D68}”

描述：注册CLSID值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{03C12478-A0D3-4291-A535-F6D16BA08D68}\

描述：将病毒DLL文件注册为BHO浏览器辅助对象

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\

Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

\C:\WINDOWS\system32\oobe\7955\svchost.exe

值: 字符串: “C:\WINDOWS\system32\oobe\7955\svchost.exe:*:Enabled:svchost”

描述：将病毒文件设置为Windows自带防火墙为旅行，达到调过防火墙窗口询问目的

4、病毒运行后加载动态连接库文件urlmon.dll，获取%Temp%临时文件夹目录， 利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码到本机保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名）

5、 在%system32%\oobe目录下利用DOS命令行方式：CMD /C MD C:\WINDOWS\system32\oobe\bak.\创建一个windows下删不掉的文件夹命为：“bak..”，将%Temp%临时文件夹TBHAILYFXYV.zbc文件，利用命令行方式：CMD /C COPY C:\DOCUME~1\a\LOCALS~1\Temp\TBHAILYFXYV.zbc

C:\WINDOWS\system32\oobe\bak..\Outputbat.txt /Y拷贝到%system32%\oobe\bak.目录下，命名为：Outputbat.txt，作为作为病毒代码的备份。

6、遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc（随机病毒名）， 将文件时间值转换成DOS日期和时间值，并在临时目录下创建一个后缀以TBHAILYFXYV.EXE同名的文件，获取MZP头以命令行方式：”"%s” -p”%s” -o- -s -d”%s将病毒打包成自解压文件并设置密码为：“logved*log;7^5#;tvn”

7、在DOS下使用命令行：C:\DOCUME~1\a\LOCALS~1\Temp\KHOANEHWQPR.exe” -p”logved*log;7^5#;tvn” -o- -s -d”C:\DOCUME~1\a\LOCALS~1\Temp\解压文件install.exe，并以命令行方式启动该文件， 在%system32%\oobe\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象，病毒文件并创建 一个名以5046（4位随机数字的目录）并释放一个病毒文件svchost.exe到该目录下，创建该病毒进 程，该文件用来定时隐藏打开大量的网页地址，执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除，最后创建$$30689.bat批处理文件删除病毒原文件

行为分析-网络行为

连接以下网址统计病毒安装情况，并顺序隐藏打开大量病毒预定好的网址：

http://www.ww****.cn/usersetup.asp?

action=027B04E05BE9C3AD11EFF8364C0F7008436CB1B5107441BBC136545931684A0BD

F4DD741245DB1256C8ADF1A18A827E643FB175282FC3D4B

http://www.ww****.cn/usersetup.asp?

action=6D663F4F2B2AC7480D4710CBFE9572144AAA68BBF4D73AF73792A323C9E9416F34BED60

08CE304CC8E75B079077CEA8EE6318EA8F840EDEE32AFED2FB03C8CFF19818140F3646A4ABDA27E

22232B6796EFDC24927BC7BEB6C9C63CBFA8EABB0B87513EED40601DDDF3F1C3D3B166C74DB17E7A

7CCCE1AA93CDDD2777182AD129

*163*.txt

*yahoo*.txt

*sina*.txt

*3721*.txt

*alimama*.txt

*mmstat*.txt

*114*.txt

*yisou*.txt

*baidu*.txt

*google*.txt

*9v*.txt

*alibaba*.txt

*lianmeng*.txt

*2t3t*.txt

*sogou*.txt

*aliunion*.txt

*narrowad*.txt

*bolaa*.txt

*forsky*.txt

*heima8*.txt

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

%Windir% 　　　　　 　　　　　 WINDODWS所在目录

%DriveLetter%　 　　　　　　　 逻辑驱动器根目录

%ProgramFiles%　 　 　　　　　 系统程序默认安装目录

%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区

%Documents and Settings% 　　　 当前用户文档根目录

%Temp% 　　　　　　　　　　　　\Documents and Settings \当前用户\Local Settings\Temp

%System32% 　　　　　　　　　　 系统的 System32文件夹

Windows2000/NT中默认的安装路径是C:\Winnt\System32

windows95/98/me中默认的安装路径是C:\Windows\System

windowsXP中默认的安装路径是%system32%　

清除方案：

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

（1） 使用ATOOL“进程管理”关闭%system32%\oobe\0755\svchost.exe

路径的病毒进程

（2） 恢复注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3

-4291-A535-F6D16BA08D68}\InprocServer32\@

值: 字符串: “C:\WINDOWS\system32\oobe\unkgknroni.dll”

描述：添加注册表启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291

-A535-F6D16BA08D68}\ProgID\@

值: 字符串: “unkgknroni.XunBHoSwf”

描述：病毒文件注册为BHO的名称

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unkgknroni.XunBHoSwf\Clsid\@

值: 字符串: “{03C12478-A0D3-4291-A535-F6D16BA08D68}”

描述：注册CLSID值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\Browser Helper Objects\{03C12478-A0D3-4291-A535-F6D16BA08D68}\

描述：将病毒DLL文件注册为BHO浏览器辅助对象

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\

Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\

List\C:\WINDOWS\system32\oobe\7955\svchost.exe

值: 字符串: “C:\WINDOWS\system32\oobe\7955\svchost.exe:*:Enabled:svchost”

描述：将病毒文件设置为Windows自带防火墙为旅行，达到调过防火墙窗口询问目的

(4) 删除病毒毒衍生的文件：

%system32%\302fcc88b1.dll

%windir%\f218f4fbb2.dll

%system32%\oobe\0755\svchost.exe

%system32%\oobe\qnujhyroni.dll

使用命令：rd bak..\/s在CMD命令下删除%system32%\oobe\目录下的bak.文件夹，或使用ATOOL工具强行删除该文件夹

你可能感兴趣的还有…

• _A00F1C639.exe 病毒查杀 (15)
• Trojan.Win32.Pakes.jsy查杀 (8)
• Trojan.Win32.KillAV.ww查杀 (0)
• Trojan-Downloader.Win32.VB.hnl查杀 (12)
• Trojan-Downloader.Win32.Todon.ae病毒查杀 (5)
• Trojan-Downloader.Win32.Small.zjt查杀 (1)
• Trojan-Downloader.Win32.Small.xwr查杀 (2)
• Trojan-Downloader.Win32.Cntr.ioq查杀 (2)
• Trojan-Downloader.Win32.Agent.tdf查杀 (0)
• Nskhelper2.sys，appwinproc.dll，NsPass0.sys查杀 (3)

Tags: 病毒