正文

[病毒资料之二]guisetup.exe进程病毒(转)2006-08-13 01:01:00

【评论】 【打印】 【字体: 】 本文链接:http://blog.pfan.cn/fengfei/17528.html

分享到:

病毒资料:W32/Banker.AFJ!tr
基本信息
病毒名称: W32/Banker.AFJ!tr 类型: 木马 长度: 256614 威胁级别: 2 捕获日期: 2006-03-20
其它别名: Trojan-Dropper.Win32.Delf.ub,Troj/CashGrab-O,PWSteal.Tarno.T 影响系统: Windows 9X,Windows 2K,Windows XP
表现特征
1、系统目录 %SYSTEM% 下存在下列文件:
     guisetup.exe
     msupdate.dll
     wint.ini
     ierror.rep
     sui.dll
     sei.dll

2、存在下列文件夹:
     C:\cardon
     %SYSTEM%\suact
     %SYSTEM%\sucontr
     %SYSTEM%\suskn

3、如果有 IE 浏览器在运行,则会被关闭;
行为分析
1、这是一个 PE 病毒,病毒文件使用 ASPack 加壳,加壳后大小为 256,614 字节;

2、判断当前是否有 IE 浏览器在运行,若有则关闭之;

3、释放出下列文件:
     %SYSTEM%\msupdate.dll (BHO 插件,Fortinet 命名为 W32/CashGrab.O!tr)
     %SYSTEM%\guisetup.exe (恶意程序,Fortinet 命名为 W32/Banker.AFJ!tr)

     msupdate.dll 行为分析如下:
       a) 试图从下列网址下载文件并执行:
            http://risedstones.com (此网址已被屏蔽)

       b) 监控用户对下列网址的访问:
            olb2.nationet.com/MyAccounts
            ibank.barclays.co.uk/onlb/q/LoginPasscode
            olb2.nationet.com/MyAccounts/
            ibank.barclays.co.uk/olb/q/LoginPasscode
            welcome6.co-operativebank.co.uk/CBIBSWeb/loginSpi.do
            barclays.com 
            olb2.nationet.co.uk
            co-operativebank.com
            barclays.co.uk
            webbank.openplan.co.uk
            ......
          注:由于列表过长,故省略部分;

        c) 监控用户对包含下列字符串的网址的访问:
             gold 
             cash 
             bank 
             pas 
             log 
             user 
             usr 
             pwd 
             psw 
             parol 
             firma 
             pin 
             clave 
             trans 
             porcue 
             memorable 
             secret

        d) 截获用户在上述网址中的所有键盘和鼠标操作,将这些信息分类保存在:
             %SYSTEM%\wint.ini
             %SYSTEM%\ierror.rep
             %SYSTEM%\sui.dll
             %SYSTEM%\sei.dll

        e) 创建下列文件夹:
             %SYSTEM%\suskn 
             %SYSTEM%\sucontr 
             %SYSTEM%\suact

        f) 将所窃取的全部信息提交到下列网址:
             http://oxygunn.com/aerodrom/ (此网址已被屏蔽)
             
4、运行释放出的文件 %SYSTEM%\guisetup.exe,注册 BHO 插件 msupdate.dll,此时会创建下列注册表项:
     HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}

     HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}\InprocServer32
       "(Default)" = "%SYSTEM%\msupdate.dll"

     HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
     {3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}

     HKCR\msupdate.Microsoft Update Service

5、在当前目录下生成批处理脚本 setup.cmd 并运行,删除病毒文件及自身;

6、创建文件夹 C:\cardon;
清除方法
1、若 IE 浏览器在运行,则首先将其关闭,
   使用如下命令:
     regsvr32 /u msupdate.dll
   注销 BHO 插件,
   删除病毒释放或创建的所有文件及文件夹;

2、由于该病毒会下载其它程序运行,建议使用杀毒软件彻底扫描整个系统;
防范措施
经常更新FortiGate防火墙的病毒特征库,必要时允许服务器推送式升级;

阅读(3232) | 评论(0)


版权声明:编程爱好者网站为此博客服务提供商,如本文牵涉到版权问题,编程爱好者网站不承担相关责任,如有版权问题请直接与本文作者联系解决。谢谢!

评论

暂无评论
您需要登录后才能评论,请 登录 或者 注册