|
名称 1Win-Trojan/Agent.14336.F种类 1特洛伊木马 类型 1Windows文件 特定发作日 1 最初发现日 1 国内发现日 1 症状 1Win-Trojan/Agent.14336.F 是隐蔽性恶性代码. 这个特洛伊木马对代理服务器以及转发邮件的症状. 试图连接特定 IRC 服务以及P2P 服务器. 运行后把自身复制到 Windows 系统目录下以 dx32cxlp.exe 创建,并生成 dx32cxel.sys 文件. 而后隐蔽以 dx32cx 开始的进程, 文件以及文件夹还有注册表的信息,防止用户被察觉.内容 1* 感染对象以及传播方法 这个特洛伊木马没有自行传播功能,是通过这个特洛伊木马的变种 Win32/MyDoom.worm蠕虫来从特定主机下载. 这个特洛伊木马也有类似的症状. * 运行后症状 装入到特定主机的特洛伊木马用以下名字运行并在 Windows 系统目录下生成驱动(*.sys)文件. 注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:\Windows\System, windows NT/2000, C:\WinNT\System32, windows XP是C:\Windows\System32 文件夹.- dx32cxlp.exe : (243,712 bytes), 自动解压运行方式,是特洛伊木马本体 - dx32cxel.sys : (7,680 bytes), 以系统驱动文件方式,并有隐藏功能. 特洛伊木马确认以下注册表信息后保存到该文件夹里. 复制的蠕虫系统启动时自动运行. HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Shell Folders Common Startup = C:\Documents and Settings\All Users\开始」菜单\程序\开始程序 而且登录到以下注册表里. 可能是确认特洛伊木马的信息所为. HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer mutexname = xDLXGSD vers = 20000 以线程模式的驱动登录到以下注册表后当系统启动时自动运行. HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ dx32cxel 特洛伊木马试图连接以下 P2P 服务器. - 195.245.244.243:4661- 62.241.53.2:4242 - 81.23.250.167:4242 - 62.241.53.4:4242 - 62.241.53.15:4242 - 69.50.228.50:4646 - 66.192.117.41:4661 - 207.44.206.27:4661 - 207.44.222.47:4661 - 213.158.119.104:4661 - 66.192.117.35:4661 - 66.192.117.36:4661 - 199.218.8.2 包含连接特定 IRC 服务器(端口 TCP/6666, 6668)的以下代码. 为了运行邮件转发和 Proxy 服务功能会打开任意的端口,但是隐蔽功能已打开,所以在本地不会察觉到. * 隐蔽症状 特洛伊木马利用自身的 dx32cxel.sys 线程模式的驱动来窃取线程 Service Descriptor Table (SDT)的函数值后来隐蔽自身. - ZwQueryDirectoryFile - ZwQuerySystemInformation 包含以下文字列的文件,进程,注册表的值都会隐蔽. - dx32cx * 其他症状 特洛伊木马还会更改 Windows XP2的防火墙的注册表值. 修改 HOSTS 文件并防止连接特定地址. 防止连接的地址一般是防病毒公司的升级地址,或者是在线杀毒地址,以防止自身被删除掉. 注) HOST 文件的地址随 windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:\Windows\System, windows NT/2000, C:\WinNT\System32Drivers\ETC , windows XP是 C:\Windows\System32Drivers\ETC 文件夹.- 127.0.0.1 www.avp.com - 127.0.0.1 www.viruslist.com - 127.0.0.1 viruslist.com - 127.0.0.1 www.symantec.com - 127.0.0.1 networkassociates.com - 127.0.0.1 secure.nai.com - 127.0.0.1 downloads1.kaspersky-labs.com - 127.0.0.1 downloads2.kaspersky-labs.com - 127.0.0.1 downloads3.kaspersky-labs.com - 127.0.0.1 downloads4.kaspersky-labs.com - 127.0.0.1 downloads-us1.kaspersky-labs.com - 127.0.0.1 downloads-eu1.kaspersky-labs.com- 127.0.0.1 kaspersky-labs.com - 127.0.0.1 www.networkassociates.com - 127.0.0.1 us.mcafee.com - 127.0.0.1 f-secure.com - 127.0.0.1 avp.com - 127.0.0.1 www.sophos.com - 127.0.0.1 sophos.com - 127.0.0.1 www.ca.com - 127.0.0.1 ca.com - 127.0.0.1 securityresponse.symantec.com - 127.0.0.1 symantec.com - 127.0.0.1 mast.mcafee.com - 127.0.0.1 my-etrust.com - 127.0.0.1 www.kaspersky.com- 127.0.0.1 www.f-secure.com - 127.0.0.1 dispatch.mcafee.com - 127.0.0.1 update.symantec.com - 127.0.0.1 nai.com - 127.0.0.1 www.nai.com- 127.0.0.1 liveupdate.symantec.com - 127.0.0.1 customer.symantec.com - 127.0.0.1 rads.mcafee.com - 127.0.0.1 trendmicro.com - 127.0.0.1 liveupdate.symantecliveupdate.com - 127.0.0.1 www.mcafee.com - 127.0.0.1 mcafee.com - 127.0.0.1 viruslist.com - 127.0.0.1 www.my-etrust.com - 127.0.0.1 download.mcafee.com - 127.0.0.1 updates.symantec.com - 127.0.0.1 kaspersky.com - 127.0.0.1 www.trendmicro.com 清除方法 1* 使用virusclean for client/server的用户 1. 产品运行后, 通过[升级]按钮或升级文件, 升级最新引擎及补丁文件.2. 首先指定要检查的驱动器,然后进行检查. 3. 在进程中诊断为恶性代码时, 选择提示窗口中的‘强制推出后进行治疗’恶性代码退出后,会自动进行治疗(删除). 4. 进程检查和指定的驱动器检查结束后,会弹出一个治疗窗口. 在这里点击''治疗所有目录''按钮后,治疗(删除)被诊断的恶性代码. 5. 添加及更改过的注册表值会自动修改. * virusclean online用户 1. 连接到朝华安博士网站(http://www.zvc.com.cn)后运行. 2. 把朝华安博士升级为最新版本. 3. 首先指定要检查的驱动器, 然后点击[开始检查]按钮后开始检查.4. 在进程中诊断恶性代码时, 选择提示窗口中的''强制结束后治疗''. 从而关闭的恶性代码会自动被治疗(删除). 5. 进程检查和指定驱动器的检查结束后弹出一个治疗窗口. 在这里点击''治疗所有标题''按钮后, 对诊断的恶性代码开始进行治疗(删除). 6. 添加及更改的注册表值会自动修改. 用木马客星杀 或其他软件 |
