Trojan.PSW.Win32.OnLineGames的分析（2）

病毒样本：auto.exe
传播方式：U盘
大小：21Kb
类型：下载者
加壳软件：aspack212r
瑞星扫描结果：Worm.Win32.Agent.iqw
autorun.inf：


行为分析：
1，在每个盘下生成auto.exe和autorun.inf
2，
添加启动项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
挂全局钩子
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><UFO.dll>  []
HookEXPLORER.EXE碎系统启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
添加2个服务
[A81C9DBC / A81C9DBC][Stopped/Disabled]
  <C:\WINDOWS\System32\7F112836.EXE -k
[usbcaml / usbcaml][Stopped/Disabled]
  <C:\WINDOWS\System32\usbcamb.exe>
基本上所有的启动方式都用上了，强！

3，下载释放下列文件：
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe  
C:\WINDOWS\AVPSrv.exe  
C:\WINDOWS\WinForm.exe  
C:\WINDOWS\DiskMan32.exe  
C:\WINDOWS\MsIMMs32.exe  
C:\WINDOWS\NVDispDrv.exe  
C:\WINDOWS\cmdbcs.exe  
C:\WINDOWS\DbgHlp32.exe  
C:\WINDOWS\upxdnd.exe  
C:\WINDOWS\msccrt.exe
C:\WINDOWS\System32\LYLoader.exe  
C:\WINDOWS\System32\LYLoadbr.exe  
C:\WINDOWS\System32\LYLeador.exe  
C:\WINDOWS\System32\LYLoador.exe  
C:\WINDOWS\System32\LYLoadar.exe
C:\WINDOWS\System32\LYLoadmr.exe
C:\WINDOWS\System32\LYLoadhr.exe
C:\WINDOWS\System32\LYLoadqr.exe
C:\WINDOWS\System32\7F112836.EXE
C:\WINDOWS\System32\usbcamb.exe
C:\WINDOWS\system32\UFO.dll
c:\windows\system32\rsjzapm.dll
x:\auto.exe
a:\autorun.inf

清除办法：
1，调用费尔木马清除助手，复制上述所释放文件，选择第二项抑制再生，清除之。
2，重启后打开autoruns.exe，删除上面所列注册表项

附：
点击下载金刀客工具包  （含本文中涉及的所有工具）

   病毒上报信箱: daokers@qq.com

[本日志由 admin 于 2009-05-06 01:53 PM 编辑]