Trojan-Dropper.Win32.Agent.env(explorer.exe,netsrv.dll)病毒分析


出处:超级巡警团队 时间:2008年3月14日

    Trojan-Dropper.Win32.Agent.env伪装为explorer.exe隐藏在system32文件夹下,而系统正常的explorer.exe文件是在windows目录下的。此恶意程序会下载并运行近30个恶意程序,这些程序会盗取用户的敏感信息,占用系统资源。超级巡警团队提醒广大用户,要经常使用超级巡警进行全盘扫描,以保证系统不受恶意程序困扰。
一、病毒相关分析:
 
    病毒标签:
        病毒名称:Trojan-Dropper.Win32.Agent.env
        病毒类型:木马下载者
        危害级别:3
        感染平台:Windows
        病毒大小:4,248(字节)
        SHA1  :87e7729f887a1142514fcc4541d705658e281421
        加壳类型:Upack
        开发工具:VC

    病毒行为:
        1、自制自身到%System%\explorer.exe
      释放文件%System%\netsrv.dll
        2、试图注入netsrv.dll系统进程,监控发送到消息队列的消息。
        3、生成配置文件%System%\BOLE.INI和%System%\WIN.INI
      并根据配置文件下载以下文件:
      http://iii.*****.com/wm/1.exe      (20,268 字节)
      http://iii.*****.com/wm/2.exe      (19,583 字节)
      http://iii.*****.com/wm/3.exe      (18,336 字节)
      http://iii.*****.com/wm/4.exe      (19,213 字节)
      http://iii.*****.com/wm/5.exe      (12,208 字节)
      http://iii.*****.com/wm/6.exe      (12,708 字节)
      http://iii.*****.com/wm/7.exe      (17,268 字节)
      http://iii.*****.com/wm/8.exe      (12,568 字节)
      http://iii.*****.com/wm/9.exe      (15,288 字节)
      http://iii.*****.com/wm/10.exe     (20,268 字节)
      http://iii.*****.com/wm/11.exe     (12,184 字节)
      http://iii.*****.com/wm/12.exe     (17,963 字节)
      http://iii.*****.com/wm/13.exe     (12,668 字节)
      http://iii.*****.com/wm/14.exe     (17,436 字节)
      http://iii.*****.com/wm/15.exe     (18,373 字节)
      http://iii.*****.com/wm/16.exe     (17,519 字节)
      http://iii.*****.com/wm/17.exe     (18,829 字节)
      http://iii.*****.com/wm/18.exe     (17,914 字节)
      http://iii.*****.com/wm/19.exe     (20,015 字节)
      http://iii.*****.com/wm/20.exe     (18,483 字节)
      http://iii.*****.com/wm/21.exe     (11,736 字节)
      http://iii.*****.com/wm/22.exe     (11,889 字节)
      http://iii.*****.com/wm/23.exe     (13,192 字节)
      http://iii.*****.com/wm/24.exe     (12,335 字节)
      http://iii.*****.com/wm/25.exe     (12,964 字节)
      http://iii.*****.com/wm/26.exe     (18,280 字节)
      http://iii.*****.com/wm/27.exe     (20,332 字节)
      http://iii.*****.com/wm/28.exe     (33,897 字节)
      http://iii.*****.com/wm/29.exe     (78,919 字节)
        4、以上文件运行添加以下启动项,如图:
   
二、解决方案
    推荐方案:删除病毒的启动项并安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
           超级巡警下载地址:http://www.dswlab.com/d1.html
三、安全建议

       1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
       2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
       3、使用超级巡警的补丁检查功能,及时安装系统补丁。
       4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
       5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
       6、禁用不必要的服务。
       7、及时更新常用软件,尤其是聊天工具。
       8、不要随便打开不明来历的电子邮件,尤其是邮件附件。
 

注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变
   量指%Windir%\System32。其它:
       %SystemDrive%           系统安装的磁盘分区
       %SystemRoot% = %Windir%   WINDODWS系统目录
       %ProgramFiles%        应用程序默认安装目录
       %AppData%               应用程序数据目录
       %CommonProgramFiles%      公用文件目录
       %HomePath%              当前活动用户目录
       %Temp% =%Tmp%           当前活动用户临时目录
       %DriveLetter%           逻辑驱动器分区
       %HomeDrive%            当前用户系统所在分区

 

    超级巡警:彻底查杀各种木马,全面保护系统安全。
    更多免费工具下载:http://www.dswlab.com
    专业的桌面与内容安全产品:http://www.unnoo.com

Copyright(c) DSW Lab All rights reserved