• 欢迎访问金刀客博客!
  • 2019,春节快乐!

Worm.Win32.Agent.vq(auto.exe)的分析

病毒分析 admin 4433次浏览 已收录 0个评论

样本文件:auto.exe
大小:12,449 字节
传播方式:U盘
病毒类型:蠕虫下载者
病毒名称:Worm.Win32.Agent.vq
MD5: 10270FEC237B68DD386D95654E43D76F
加壳软件:Upack V0.37 -> Dwing
1,auto运行后首先打开所在盘,如C:\
释放文件:
C:\WINDOWS\system32\88199DC.EXE Worm.Win32.Agent.zjg
C:\WINDOWS\system32\explorer.exe Worm.Win32.Agent.vq
C:\WINDOWS\system32\F385D020.DLL Worm.Win32.Autorun.isu
C:\WINDOWS\system32\hh.exe
c:\auto.exe Backdoor.Win32.Agent.ckn
c:\autorun.inf
2,添加服务启动
HKLM\SYSTEM\CurrentControlSet\Services\82C7251C
ImagePath:C:\WINDOWS\system32\88199DC.EXE -k
3,添加Winlogon启动:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit: c:\windows\system32\userinit.exe,,explorer.exe
位于sysytem32下的explorer.exe为病毒程序,正常的位于windows下
4,启动C:\WINDOWS\system32\hh.exe,盗Q程序

5,删除错误报告服务
Error Reporting Service:HKLM\SYSTEM\CurrentControlSet\Services\ERSvc\
6,把C:\WINDOWS\system32\F385D020.DLL 注入每一个运行中的exe,dll是整个病毒的控制中心,检测到就复制auto.exe和autorun.inf到U盘;一旦发现根目录下的auto.exe被删除,马上释放一个C:\WINDOWS\system32\n1203831355k.exe,然后剪切到被删除的根目录,改名为auto.exe
7,具备自动更新的功能,访问http://nx.51ylb.cn/soft/update.txt(222.73.26.9 海市 电信IDC机房)查看是否更新。
内容:

[update] ver=2008010509 url=http://nx.51ylb.cn/soft/soft/e47e57844ef30ab4.exe
updatetimer=180 [startpage] startpage=0 url=sssssssssssssssssss [desktop] desktop=0
count=1 title1=免费网络电话
url1=http://skype.tom.com/download/archive/01400974/SkypeClient.exe [file] [count]
count=0 mecount=0 url=http://nx.51ylb.cn/soft/count/count.asp

首先核对版本,如果是旧版的就下载e47e57844ef30ab4.exe 执行更新。count.asp就是统计中马的了。下载skype应当是赚电话费吧。
清除办法:
1,打开费尔木马清理助手,复制下列文件
C:\WINDOWS\system32\88199DC.EXE
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\system32\F385D020.DLL
C:\WINDOWS\system32\hh.exe
X:\auto.exe
X:\autorun.inf
X代表分区盘符。选择第二项,抑制清除。
2,打开autoruns.exe-全部启动项-,
删除HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit:
explorer.exe c:\windows\system32\explorer.exe
删除HKLM\System\CurrentControlSet\Services
82C7251C c:\windows\system32\88199dc.exe
3,重启,杀软全盘扫描
Worm.Win32.Agent.vq(auto.exe)样本.rar下载链接:

附:
点击下载金刀客工具包 (含本文中涉及的所有工具)
病毒上报信箱: daokers@qq.com


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明Worm.Win32.Agent.vq(auto.exe)的分析
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到