转帖:警惕后门病毒Agent.xh分析
Backdoor.Win32.Agent.xh病毒属后门类,病毒运行后衍生病毒文件到系统文件夹%system32%下,并在用户启动目录中新建一个批处理文件,该批处理文件的启动指向病毒的衍生文件;修改注册表,添加启动项,以达到随机启动的目的;病毒作为IEXPLORE.EXE的父进程插入子进程IEXPLORE.EXE中,但并不运行IEXPLORE.EXE的主体程序。病毒运行后,连接网络,病毒作者可以远程控制中毒机器,进行新建、修改、删除文件,并可以盗取用户的敏感信息。
行为分析:
1、病毒运行后,衍生病毒文件:
%system%\server.dll
%system%\server.exe
%Documents and Settings%\%用户名%\「开始」菜单\程序\启动\batfilename.bat
2、批处理文件batfilename.bat的启动指向病毒衍生文件:
start C:\WINDOWS\system32\server.exe
3、修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\Xploit Server\
值: 字符串: "stubpath "="C:\WINDOWS\system32\server.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
值: 字符串: "Xploit Server "="C:\WINDOWS\system32\server.exe"
4、病毒做为IEXPLORE.EXE的父进程插入子进程IEXPLORE.EXE中,但并不运行IEXPLORE.EXE的主体程序。
5、病毒运行后,连接网络:
208.172.44.62:80
GET /msdownload/update/v3-19990518/cabpool/windows-kb913433-x86-chs_d15ab3599021d25ed2a34ec2834fe2b6fe0da3d9.ex65
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
IEXPLORE.EXE
(2) 删除病毒文件
%system%\server.dll
%system%\server.exe
%Documents and Settings%\%用户名%\「开始」菜单\程序\启动\batfilename.bat
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Xploit Server\
值: 字符串: "stubpath "="C:\WINDOWS\system32\server.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
值: 字符串: "Xploit Server "="C:\WINDOWS\system32\server.exe"
相关链接参见:http://www.antiy.com/security/report/20061108.htm
|
