Worm.Win32.Agent.t分析与手动清楚-http://www.baidu.sd.cn

Worm.Win32.Agent.t分析

安天实验室    CERT组分析
一、病毒标签：
病毒名称： Worm.Win32.Agent.t
病毒类型：蠕虫类
文件 MD5： C87FDD521B926717DE37840393AC2353
公开范围：完全公开
危害等级： 4
文件长度： 104,308 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： PECompact 2.x

二、病毒描述：

该病毒主要是通过移动存储介质传播，其自身衍生文件设为隐藏属性，并修改注册表使隐藏文件不可见；以达到更好的

隐藏自身的目的；具有简单的反杀毒软件机制，修改系统时间至1980年，使杀毒软件不可用；使用户误认为杀毒软件过

期，给用户带来一定的迷惑性。该病毒的一个主要特点就是能够连接网络，下载相关病毒信息，以更新文件等，从而达

到更久的存活时间。此病毒可以盗取用户的大量敏感信息。

三、行为分析：

本地行为:

1、文件运行后会衍生以下文件
%Temp%\3025.exe
%WinDir%\3025.exe
%WinDir%\Listsas.txt
%WinDir%\Listss.txt
%DriveLetter%\fIURB.exe
%DriveLetter%\Autorun.inf

2、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
新建键值：字串："Userinit "="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\3025.exe"
原键值：字串："Userinit "=""C:\WINDOWS\system32\userinit.exe,"
描述：添加启动项

3、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Ch

eckedValue]
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
描述：使隐藏文件不可见

4、删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\NoDriveTypeAutoRun]
描述：开启逻辑驱动等自动播放能力

5、在各个逻辑驱动器根目录创建Autorun.inf文件，达到启动病毒的目的，Autorun.inf内容如下：
[autorun]
open=fIURB.exe
shellexecute=fIURB.exe
shell\Auto\command=fIURB.exe
shell=Auto

6、将系统日期改为1980年，使杀毒软件不可用

网络行为:

1、连接网络获取病毒相关信息：
连接网络：
www.sinavip.net(221.8.74.167:80)
        获取信息：
t25.txt
A.asp

注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。

四、清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地

址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程

(2) 强行删除病毒文件
    %Temp%\3025.exe
%WinDir%\3025.exe
%WinDir%\Listsas.txt
%WinDir%\Listss.txt
%DriveLetter%\fIURB.exe
%DriveLetter%\Autorun.inf

(3) 恢复病毒修改的注册表项目
     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
新建键值：字串："Userinit "="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\3025.exe"
原键值：字串："Userinit "=""C:\WINDOWS\system32\userinit.exe,"
描述：添加启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Ch

eckedValue]
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
描述：使隐藏文件不可见
恢复注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\NoDriveTypeAutoRun]

打印本页 |

关闭窗口