警惕恶意木马下载器auto.exe（Worm.Win32.Agent.wn）--警惕,恶意,木马,下载器,auto.exe,Worm.Win32.Agent.wn

[推荐]警惕恶意木马下载器auto.exe（Worm.Win32.Agent.wn）

荐 ★★★★

警惕恶意木马下载器auto.exe（Worm.Win32.Agent.wn）

文章整理发布：黑客风云文章来源：www.05112.com 更新时间：2007-7-4

最近发现这个病毒的求助者增多，看了一下，其实此病毒就是前些日子流行的木马下载器rising.exe的变种，改个名字而已，手法相同。

File: auto.exe
Size: 20139 bytes
MD5: C8C1710C47B42258023F620D0C047F36
SHA1: 79462300E3B85583FC87CBB56936719B6CC0616E
CRC32: 0F6AC47C

病毒运行后检测是否装有卡巴斯基软件
如果装有卡巴斯基软件则将系统日期修改为2005年1月18日

在系统文件夹下创建一个随机8位数字和字母组合而成的exe并且注册成随机8位数字和字母组合而成的服务
同时释放一个随机8位数的dll
控制winlogon把那个随机8位数的dll 插入几乎所有进程

遍历所有分区在根目录下生成auto.exe和autorun.inf

作者在病毒里留下了自己的QQ号

连接网络60.191.135.155:80 下载木马
首先读取http://xxxxx.com/cnzz//update.txt 的下载配置文件
然后根据里面的内容下载木kxxxxxxxxxxx.exe到系统文件夹
并下载http://xxxxx.com/cnzz/soft/cnzz.exe更新自身

具体木马下载的过程略
木马植入成功后
增加的文件如下
C:\Program Files\Internet Explorer\Connection Wizard\icwres.ocx
C:\Program Files\Internet Explorer\Connection Wizard\isignup.dll
C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
C:\WINDOWS\system32\107E7AF5.DLL（随机文件名）
C:\WINDOWS\system32\AC254E44.EXE（随机文件名）
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\B96A05C.EXE（随机文件名）
C:\WINDOWS\system32\bcawvt.dll
C:\WINDOWS\system32\chzzyi.dll
C:\WINDOWS\system32\dllhost32.exe
C:\WINDOWS\system32\eykesr.dll
C:\WINDOWS\system32\F7F735F8.DLL（随机文件名）
C:\WINDOWS\system32\gafjib.dll
C:\WINDOWS\system32\humnyb.dll
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\kxxxxxxxxxxx.exe（随机文件名）
C:\WINDOWS\system32\k118335740863qso.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\Msf3sf.sys
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\qqcnpk.dll
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\Shell.pci
C:\WINDOWS\system32\skblsj.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\unlmon.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\uzgeey.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\fqpatv.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
其中C:\WINDOWS\system32\Shell.exe为感染下载者感染除系统分区外的所有exe 并且在每个分区根目录

下面生成pagefile.pif文件具体分析在
sreng日志如下
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<"C:\WINDOWS\system32\Rundll32.exe" "C:\WINDOWS\system32

\shell32.dll",Control_RunDLL "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp"> [N/A]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}>[]
<{13BB17A1-1B9D-1F83-235F-27552B3B2F17}> []
<{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}> []

服务
[3FC3578B / 3FC3578B][Stopped/Auto Start]

[E539E00C / E539E00C][Stopped/Auto Start]

[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]

进程
[PID: 1456][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180

(xpsp_sp2_rtm.040803-2158)]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dat9.tmp] [N/A, ]
[C:\WINDOWS\system32\k118335740863qso.dll] [N/A, ]
[C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\107E7AF5.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\F7F735F8.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\TIMHost.dll] [N/A, ]
[C:\WINDOWS\system32\dh2104.dll] [N/A, ]
[C:\WINDOWS\system32\Ravasktao.dll] [N/A, ]
[C:\WINDOWS\system32\uihfev.dll] [N/A, ]

[1] [2] 下一页

文章录入：cainiaowang 责任编辑：cainiaowang

上一篇文章：几种常用嗅探软件的防范

下一篇文章：没有了

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

VIP 专区

	抽根憋闷烟的心声
	学习网页制作的理由
	加入终身会员的理由!!!
	学习黑客编程的5大理由
	学习免杀的6大理由
	学习软件破解的理由
	会员账号开通查询
	常见问题解答
	汇款向导
	学员报名咨询

	手工清除向好友发送信息的新QQ尾	06-12
	Evilotus木马清除手记	05-16
	硬盘及内存检测病毒四种查病毒的	04-30
	灰鸽子全面解析	04-14
	打造100％绝对安全的个人电脑	04-08
	如何安全运行从网上下载的可疑软	04-05
	操作系统安全之如付对抗Linux系统	03-16
	如何清除＂雨薇在线＂木马	03-16
	DOS下清除熊猫的简单方法	02-02
	杀熊猫烧香100％成功绝招	01-27
	通过电信宽带上网的用户将被电信	01-17
	互联星空挂的一个强马，禁用杀软	12-02