病毒名稱: Trojan/Win32.Agent.acfe [Dropper]
alitte32.exe ,ali4a10f.dll
該病毒為熱血傳奇盜號木馬,病毒運行后,遍歷進程查找"alien32.exe",如找到則強行結束該進程,拷貝自身文件到%system32%目錄下,重命名為:alien32.exe,獲取NTDLL.DLL文件時間,將衍生的病毒文件創建時間設置為獲取的NTDLL.DLL文件的時間,調用API函數創建%system32%目錄下病毒進程,病毒運行完后刪除自身,alien32.exe病毒文件運行后查找類名為"SHRTMIR"的窗體,衍生DLL病毒文件到%system32%目錄下,動態加載病毒DLL文件、獲取病毒DLL基礎,并調用病毒DLL,枚舉內核模塊名"ntkrnlpa.exe"并加載該進程,創建病毒驅動文件到%system32%\Drivers目錄下,并打開病毒服務,等待加載完畢后、刪除病毒驅動文件,添加注冊表RUN啟動項,遍歷進程查找360tray.exe進程、找到后強行結束該進程,遍歷進程查找explorer.exe進程、找到后調用內核函數獲取該進程句柄、修改進程的訪問令牌,申請內存空間、將病毒DLL寫到explorer.exe與svchost.exe進程中,并創建一個線程。DLL文件主要行為:查找類名"SAS Window class"的窗體,并向該窗體發送錯誤消息,查找游戲類名"TFrmMain"名稱為“傳奇加載”的窗體,找到后調用函數向該窗體發送消息,檢測包含病毒預定的文字控件按鈕、如匹配成功則刪除該窗體的安全檢測控件,使游戲安全檢測項失效、以到達截取游戲帳戶密碼目的,通過URL方式發送到作者指定的地址中。
行為分析-本地行為
1、遍歷進程查找"alien32.exe",如找到則調用TerminateProcess函數強行結束該進程,獲取該NTDLL.DLL文件時間,將衍生的病毒文件創建時間設置為獲取的NTDLL.DLL文件的時間,查找類名為"SHRTMIR"的窗體,找到之后衍生DLL病毒文件到%system32%目錄下,動態加載病毒DLL文件、獲取病毒DLL基礎,并調用病毒DLL,枚舉內核模塊名“ntkrnlpa.exe”并加載該進程。
2、文件運行后會釋放以下文件
%system32%\drivers\aliimz.sys
%system32%\dllcache\alitte32.exe
%system32%\dllcache\ali4a10f.dll
3、添加注冊表啟動項、創建病毒服務
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz
值: 字符串: "alien32.exe"
描述:添加注冊表病毒啟動病毒
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\ImagePath
值: 字符串:"System32\Drivers\aliimz.sys."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz\Type
值: DWORD: 1 (0x1)
描述:創建注冊表病毒服務項
4、遍歷進程查找360tray.exe進程、找到后強行結束該進程,遍歷進程查找explorer.exe進程、找到后調用內核函數獲取該進程句柄、修改進程的訪問令牌,申請內存空間、利用API函數WriteProcessMemory將病毒DLL寫到explorer.exe與svchost.exe進程中,并創建一個線程。
5、DLL文件主要行為:調用API函數FindWindowA查找類名"SAS Window class"的窗體,并向該窗體發送錯誤消息,查找游戲類名"TFrmMain"名稱為"傳奇加載"的窗體,找到后調用函數向該窗體發送消息,檢測包含病毒預定的文字控件按鈕、如匹配成功則刪除該窗體的安全檢測控件,使游戲安全檢測項失效、以到達截取游戲帳戶密碼目的。
刪除包含以下文件的控件按鈕:
提示:為保護帳號安全,\n\n請您驗證帳號身份信息。
提示:反外掛測試中,請輸入動態密寶。
行為分析-網絡行為
協議:TCP
端口:80
描述:連接域名發送游戲賬戶到病毒作者接收地址中,回傳格式為:
tid=%s&nid=%s&id=%s&p=%s&a=%s&sv=%s&j1=%s.%s(%d)&j2=%s.%s(%d)&pn=%s&sys=%s&yb=%d&lf
=%d&jgs=%d&mv=%d&mb=%d&sgn=%d&zb=%s
注:%System32%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程序默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32文件夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%
清除方法:
1、使用安天防線可徹底清除此病毒(推薦),請點擊下載(http://www.antiyfx.com/download.htm)。
2、手工清除請按照行為分析刪除對應文件,恢復相關系統設置。
推薦使用ATool管理工具,請點擊下載(http://www.antiy.com/cn/download/atool.htm)。
(1)使用ATOOL管理工具,“進程管理”查找explorer.exe與svchost.exe進程中的病毒模塊名"ali4ee25.dll",找到該病毒模塊強行結束。
(2) 強行刪除病毒文件
%system32%\dllcache\alitte32.exe
%system32%\dllcache\ali4a10f.dll
(3)恢復注冊表下項、刪除病毒啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\nwiz
刪除Run鍵下的nwiz鍵值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aliimz
刪除Services鍵下的aliimz主鍵值
☜♡☞dr-pc.com.tw智邦電腦醫院☜♡☞台南電腦維修 網頁設計
智邦電腦醫院全方位服務www.drpc.com.tw 、台南電腦維修、永康電腦維修、台南電腦維修到府服務、維護合約、台南網頁設計、到府維修、筆記型電腦維修、電腦醫生、電腦醫院、液晶維修、筆記型電腦、維修電腦、電腦組裝、筆電維修、電腦硬體維修、電腦軟體修復、硬碟修復、資料救援、網路架設、電腦出租、電腦分期、電腦創業、連鎖加盟
文章定位:
