黑色海岸线论坛 - Powered by Discuz! Board

标题: [转帖]警惕木马Trojan-Downloader.Win32.Bagle.f [打印本页]

作者: h24arb 时间: 2005-12-21 11:21 标题: [转帖]警惕木马Trojan-Downloader.Win32.Bagle.f

转帖:警惕木马Trojan-Downloader.Win32.Bagle.f
来自安天实验室：
http://www.antiy.com/index.htm
病毒标签：
病毒名称： Trojan-Downloader.Win32.Bagle.f
病毒类型：木马
文件 MD5： 41E345ADD5B37218D760FA9678DEEB12
公开范围：完全公开
危害等级：中
文件长度： 9,725 字节
感染系统： windows 98 及以上版本
开发工具： Visual C++
加壳类型：未知壳
命名对照： Symentec[Trojan.Lodear.D]
　　　　　 Mcafee[W32/Bagle.gen]
病毒描述：
　该病毒属木马下载类，属白鸽病毒家族的一个变种。病毒使用Windows BMP图标。病毒第一次运行后会打开%system%\ntimage.gif，并在注册表文件中新建一个键值，表示该主机已经被感染，病毒运行后复制自身到%system\anti_troj.exe%下，修改注册表文件，添加到启动项。病毒还会在%windir%目录下是释放一个名为“exefld”的文件夹，病毒尝试连接一些网站并下载病毒相关文件到“exefld”下运行。
行为分析：
1、病毒运行后会释放病毒文件： %System%\anti_troj.exe
2、修改注册表文件，添加启动项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\anti_tro
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
\Run\anti_troj
键值: 字串: "C:\WINNT\System32\anti_troj.exe"
3、病毒第一次运行后会打开%system%\ntimage.gif，并在注册表文件中添加键值，表示该主机已经被感染：
HKEY_USERS\Software\FirstRRRun\FirstRRRun
键值: DWORD: 1 (0x1)
4、病毒尝试连接一些网站并且下载病毒相关文件到本地运行%windir%exefld下运行，网站列表如下：
http://s89.***edu.tw             http://www.a2zh***ngs.com
http://ph***g.org                http://www.a***is.hu
http://www.***as-mode.de          http://abt***fety.com
http://75***.ru                   http://***acentrum.pl
http://www.8***lan.hu             http://www.a***ant-np.ru
http://okl***.co.jp                http://fur***oba.info
http://ada***ue.net                http://adopti***nada.ca
http://cco***tomadrid.org          http://65.108.***.73
http://abt***safety.com          http://tkd***.net
http://80.***.233.41             http://www.***.pl
http://www.***h.serwery.pl       http://advente***up.com
http://www.***.co.il             http://sacaft***rk.net
http://vi***.kei.pl                http://agen***publicidadinternet.com
http://www.b***jndepot.com       http://www.***oturystyka.artneo.pl
http://209.***.128.203             http://kep***.kz
http://www.t***trol.com.pl       http://ahava.***e24.com
......

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用“任务管理器”关闭病毒进程。
(2) 删除病毒文件：%System%\anti_troj.exe 和 %windir%exefld
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run\anti_tro
　　键值: 字串: "C:\WINNT\System32\anti_troj.exe"
　　HKEY_USERS\Software\Microsoft\Windows\CurrentVersion
　　\Run\anti_troj
　　键值: 字串: "C:\WINNT\System32\anti_troj.exe"
　　HKEY_USERS\Software\FirstRRRun\FirstRRRun
　　键值: DWORD: 1 (0x1)

　　HKEY_USERS\Software\FirstRRRun\FirstRRRun
　　键值: DWORD: 1 (0x1)

附：
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+：
　木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:　
采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。
实时网络防护:
全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。

作者: chinanic 时间: 2005-12-21 11:48 标题: [转帖]警惕木马Trojan-Downloader.Win32.Bagle.f

为啥你每次发个警报都要带个小广告？

作者: h24arb 时间: 2005-12-27 11:25 标题: [转帖]警惕木马Trojan-Downloader.Win32.Bagle.f

那个不是广告,那只是我们解决方案里的一部分.

作者: rlhotel 时间: 2006-1-3 10:25 标题: [转帖]警惕木马Trojan-Downloader.Win32.Bagle.f

:em13: 好呀

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)