病毒资料:W32/Banker.AFJ!tr 基本信息 病毒名称: W32/Banker.AFJ!tr 类型: 木马 长度: 256614 威胁级别: 2 捕获日期: 2006-03-20 其它别名: Trojan-Dropper.Win32.Delf.ub,Troj/CashGrab-O,PWSteal.Tarno.T 影响系统: Windows 9X,Windows 2K,Windows XP 表现特征 1、系统目录 %SYSTEM% 下存在下列文件: guisetup.exe msupdate.dll wint.ini ierror.rep sui.dll sei.dll2、存在下列文件夹: C:\cardon %SYSTEM%\suact %SYSTEM%\sucontr %SYSTEM%\suskn3、如果有 IE 浏览器在运行,则会被关闭; 行为分析 1、这是一个 PE 病毒,病毒文件使用 ASPack 加壳,加壳后大小为 256,614 字节;2、判断当前是否有 IE 浏览器在运行,若有则关闭之;3、释放出下列文件: %SYSTEM%\msupdate.dll (BHO 插件,Fortinet 命名为 W32/CashGrab.O!tr) %SYSTEM%\guisetup.exe (恶意程序,Fortinet 命名为 W32/Banker.AFJ!tr) msupdate.dll 行为分析如下: a) 试图从下列网址下载文件并执行: http://risedstones.com (此网址已被屏蔽) b) 监控用户对下列网址的访问: olb2.nationet.com/MyAccounts ibank.barclays.co.uk/onlb/q/LoginPasscode olb2.nationet.com/MyAccounts/ ibank.barclays.co.uk/olb/q/LoginPasscode welcome6.co-operativebank.co.uk/CBIBSWeb/loginSpi.do barclays.com olb2.nationet.co.uk co-operativebank.com barclays.co.uk webbank.openplan.co.uk ...... 注:由于列表过长,故省略部分; c) 监控用户对包含下列字符串的网址的访问: gold cash bank pas log user usr pwd psw parol firma pin clave trans porcue memorable secret d) 截获用户在上述网址中的所有键盘和鼠标操作,将这些信息分类保存在: %SYSTEM%\wint.ini %SYSTEM%\ierror.rep %SYSTEM%\sui.dll %SYSTEM%\sei.dll e) 创建下列文件夹: %SYSTEM%\suskn %SYSTEM%\sucontr %SYSTEM%\suact f) 将所窃取的全部信息提交到下列网址: http://oxygunn.com/aerodrom/ (此网址已被屏蔽) 4、运行释放出的文件 %SYSTEM%\guisetup.exe,注册 BHO 插件 msupdate.dll,此时会创建下列注册表项: HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A} HKCR\CLSID\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}\InprocServer32 "(Default)" = "%SYSTEM%\msupdate.dll" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {3A4E6FF3-BF59-446E-9DC8-731BCE2F349A} HKCR\msupdate.Microsoft Update Service5、在当前目录下生成批处理脚本 setup.cmd 并运行,删除病毒文件及自身;6、创建文件夹 C:\cardon; 清除方法 1、若 IE 浏览器在运行,则首先将其关闭, 使用如下命令: regsvr32 /u msupdate.dll 注销 BHO 插件, 删除病毒释放或创建的所有文件及文件夹;2、由于该病毒会下载其它程序运行,建议使用杀毒软件彻底扫描整个系统; 防范措施 经常更新FortiGate防火墙的病毒特征库,必要时允许服务器推送式升级;
评论