瑞星卡卡安全论坛

安天的相关病毒分析报告，请受害者参阅并自行处理，若有新样本，请上传！

Trojan/Win32.Agent.hkn[Rootkit]  2009年2月25日

病毒标签
	病毒名称： Trojan/Win32.Agent.hkn[Rootkit] 病毒类型： 木马 文件 MD5： 5B429BC83A768CC92C5ED8FDD2493B5D 公开范围： 完全公开 危害等级： 4 文件长度： 38,400 字节 感染系统： Windows98以上版本 开发工具： Microsoft Visual C++ 6.0 加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
病毒描述
	该病毒为后门木马类，该病毒对数据进行了加密处理，病毒运行后调用解密模块解密数据，创建一个窗口、创建病毒驱动设备名"\\.\Global\rkdoor"，判断注册表IE主页地址是否为www.baidu.com、www.hao123.com，如果是则释放BAT批处理删除自身文件，否则继续释放网址导航.url到%Documents and Settings%\当前用户\Favorites\目录下，衍生"lMDg.dll"（随机病毒名）到%system32%目录下，并设置文件创建时间为2004年8月4号，创建注册表启动项，创建随机病毒名病毒驱动文件到%system32%\drivers目录下，创建病毒服务，利用rundll32.exe文件启动病毒释放的DLL文件，病毒运行完毕后删除自身、连接网络向指定URL提交IP、MAC、IE主页等信息数据。     DLL分析：连接网络向指定URL提交IP、MAC、IE主页等信息数据。     SYS驱动文件分析：保护病毒主程序释放出来的DLL文件不被修改、删除，监视保护驱动程序自身服务启动项，删除后会重新创建，修改IE默认主页为www.6700.cn?tn=1027273。
行为分析-本地行为
	1、病毒运行后调用解密模块解密数据，创建一个：Width = 80000000、Height = 0的窗口、创建病毒驱动设备名"\\.\Global\rkdoor"，判断注册表IE主页地址是否为www.baidu.com、www.hao123.com，如果是则释放BAT批处理删除自身文件。 2、释放病毒文件到以下目录 %System32%\drivers\nhh.sys %System32%\DplR.dll %Documents and Settings%\当前用户\Favorites\网址导航.url %Documents and Settings%\当前用户\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk 3、创建注册表病毒服务、添加启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\aLVrXcB\ewseuor 值: DWORD: 4188772940 (0xf9ab9a4c) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\aLVrXcB\gukgmc 值: 字符串: " r.<... " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\aLVrXcB\vhyxl 值: 字符串:" ##..'. " HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\aLVrXcB\wcai 值: DWORD: 24384456 (0x17413c8) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dwrxbju\DisplayName 值: 字符串: "dwrxbju" 描述：病毒服务名 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dwrxbju\ImagePath 值: 字符串:"system32\drivers\nhh.sys." 描述：病毒映像启动文件路径 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dwrxbju\Start 值: DWORD: 0 (0) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dwrxbju\Type 值: DWORD: 1 (0x1) 描述：病毒启动方式及类型 4、修改创建的文件时间为2004年8月4号，使用rundll32.dll加载C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\lMDg.dll，DllRegisterServer启动病毒释放的DLL文件，病毒运行完毕后删除自身、连接网络向指定URL提交IP、MAC、IE主页等信息数据。 5、DLL分析：连接网络向指定URL提交IP、MAC、IE主页等信息数据。 6、SYS驱动文件分析：保护病毒主程序释放出来的DLL文件不被修改、删除，监视保护驱动程序自身服务启动项，删除后会重新创建，修改IE默认主页为www.6700.cn?tn=1027273。
行为分析-网络行为
	协议：TCP 端口：80 连接域名： http://www.buyaohenchang**.com.cn/api.php?bXR9NUBzOaJ3NzAuZXN9NEBxRaJ5PFN5SFJ2KoS5dHV9NDAaAYS1dHSie HV9NkBxPUBzNkNnbH9uAYCiA2V9bIS0dEpwM3e3ez5aZXAmd2imcHxvZ29uMx== http://www.woyaochidongxi**.com.cn/update.php?bXR9NUBzOaJ3NzA1dHSieHW2AYKabX9vQUB= 描述：向指定URL提交IP、MAC、IE主页等信息数据 注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 　　　　 %Windir% 　　　　　 　　　　　 WINDODWS所在目录 　　　　 %DriveLetter%　 　　　　　　　 逻辑驱动器根目录 　　　　 %ProgramFiles%　 　 　　　　　 系统程序默认安装目录 　　　　 %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区 　　　　 %Documents and Settings% 　　　当前用户文档根目录 　　　　 %Temp% 　　　　　　　　　　　　\Documents and Settings\当前用户\Local Settings\Temp 　　　　 %System32% 　　　　　　　　　　系统的 System32文件夹 　　　　 　　　　 Windows2000/NT中默认的安装路径是C:\Winnt\System32 　　　　 windows95/98/me中默认的安装路径是C:\Windows\System 　　　　 windowsXP中默认的安装路径是%System32%

清除方案
（1） 使用进程管理工具“进程管理”关闭System进程打开的DLL和SYS文件的句柄。
（2） 强行删除%WINDOWS%\Down_Temp目录下所有的病毒文件
%System32%\drivers\nhh.sys
%System32%\DplR.dll
%Documents and Settings%\当前用户\Favorites\网址导航.url
%Documents and Settings%\当前用户\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
（3） 删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\aLVrXcB
删除CurrentVersion键值下的aLVrXcB主键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dwrxbju
删除Services键值下的dwrxbju主键值


原文：http://www.antiy.com/cn/security/2009/r090225_001.htm

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 1.1.4322; GreenBrowser)

已学习，楼主辛苦

呵呵，了解到该病毒一些不太引人注目的细节……:default7:

前段时间中过一个类似的
造成我的瑞星无法升级
并且瑞星\微软\卡巴等网站都无法访问,被转到另一个网页上
特此学习下

辛苦

呵呵
艾玛大侠的东东:default6:

我好像没见过这个斑竹

我那次也差点被修改了
这主防的信息：
类别:
浏览器修改程序
描述:
这个程序可能是在未取得用户完全同意的情况下安装的。
建议:
复查警报详细信息，了解为何检测到该软件。如果您不喜欢该软件的运行方式，或者您不知道和不信任其发行者，请考虑阻止或删除该软件。
资源:
clsid:
HKLM\Software\Classes\CLSID\{FE14F22E-BE14-4F08-A80F-F27BC3A67B2D}
clsid:
HKLM\Software\Classes\CLSID\{E5D5D4A1-17F0-41D7-B1C6-0979F91E6F46}
clsid:
HKLM\Software\Classes\CLSID\{B580CF65-E151-49C3-B73F-70B13FCA8E86}
clsid:
HKLM\Software\Classes\CLSID\{A7F05EE4-0426-454F-8013-C41E3596E9E9}
clsid:
HKLM\Software\Classes\CLSID\{7C76C055-ED6E-4535-A70F-CD476E727F67}
clsid:
HKLM\Software\Classes\CLSID\{77FEF28E-EB96-44FF-B511-3185DEA48697}
regkey:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\sobar
regkey:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{E5D5D4A1-17F0-41D7-B1C6-0979F91E6F46}
regkey:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{A7F05EE4-0426-454F-8013-C41E3596E9E9}
regkey:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77FEF28E-EB96-44FF-B511-3185DEA48697}
regkey:
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{B580CF65-E151-49C3-B73F-70B13FCA8E86}
regkey:
HKLM\SOFTWARE\CLASSES\TYPELIB\{6AFC2761-1253-427C-9A56-385B4609BE1D}\1.0
regkey:
HKLM\SOFTWARE\CLASSES\INTERFACE\{A294F8EB-86D9-4C4A-8B3E-909253761C64}
regkey:
HKLM\SOFTWARE\CLASSES\INTERFACE\{96249369-D3DC-4AE6-8A3B-E7109D46E98D}
regkey:
HKLM\SOFTWARE\CLASSES\INTERFACE\{89FDCC4B-8D91-49B0-81A6-18BCFF582735}
regkey:
HKLM\SOFTWARE\CLASSES\INTERFACE\{7EF05EFF-0E62-4040-8D81-73A10D8DE60F}
regkey:
HKLM\SOFTWARE\CLASSES\INTERFACE\{464C8A26-31E9-411C-9583-5B858E631DCC}
regkey:
HKLM\Software\Classes\CLSID\{FE14F22E-BE14-4F08-A80F-F27BC3A67B2D}
regkey:
HKLM\Software\Classes\CLSID\{E5D5D4A1-17F0-41D7-B1C6-0979F91E6F46}
regkey:
HKLM\Software\Classes\CLSID\{B580CF65-E151-49C3-B73F-70B13FCA8E86}
regkey:
HKLM\Software\Classes\CLSID\{A7F05EE4-0426-454F-8013-C41E3596E9E9}
regkey:
HKLM\Software\Classes\CLSID\{7C76C055-ED6E-4535-A70F-CD476E727F67}
regkey:
HKLM\Software\Classes\CLSID\{77FEF28E-EB96-44FF-B511-3185DEA48697}
bho:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77FEF28E-EB96-44FF-B511-3185DEA48697}
ietoolbar:
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{B580CF65-E151-49C3-B73F-70B13FCA8E86}
interface:
HKLM\SOFTWARE\CLASSES\INTERFACE\{A294F8EB-86D9-4C4A-8B3E-909253761C64}
interface:
HKLM\SOFTWARE\CLASSES\INTERFACE\{96249369-D3DC-4AE6-8A3B-E7109D46E98D}
interface:
HKLM\SOFTWARE\CLASSES\INTERFACE\{89FDCC4B-8D91-49B0-81A6-18BCFF582735}
interface:
HKLM\SOFTWARE\CLASSES\INTERFACE\{7EF05EFF-0E62-4040-8D81-73A10D8DE60F}
interface:
HKLM\SOFTWARE\CLASSES\INTERFACE\{464C8A26-31E9-411C-9583-5B858E631DCC}
typelibversion:
HKLM\SOFTWARE\CLASSES\TYPELIB\{6AFC2761-1253-427C-9A56-385B4609BE1D}\1.0
iepreapproved:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{E5D5D4A1-17F0-41D7-B1C6-0979F91E6F46}
iepreapproved:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{A7F05EE4-0426-454F-8013-C41E3596E9E9}
uninstall:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\sobar
typelib:
HKLM\SOFTWARE\CLASSES\TYPELIB\{6AFC2761-1253-427C-9A56-385B4609BE1D}

:default9: 多谢楼主分享了

斑竹 辛苦了
学习中...

我的也有.也是一个导航站.下次把地址帖出来.

学习

幸苦了，还没看明白。

http://www.ku256.com/这个也是网址导航劫持的，家里的主页就是给它劫持了.
也在学习中，还不太会弄.

辛苦了 嘿嘿

:default5: :default6: :default9:

顶呀！！！1很有用~~~

楼主·帮帮我啊·我的是www.6700.cn?tn=1027271，病毒名称叫Rootkit.win32.mnless.asy！
http://bbs.ikaka.com/showtopic-8611808.aspx请看这个楼主

:default2: :default2:

我虽然没有遇到这事，但是会细心防范，永不中毒。

来学习一下:default6:

:default71: 我的电脑上周中的毒，一周了，嗨，我是新手上路。现在还是没清除掉.......主页被改成http://www.6700.cn/?tn=1027271 。样本嘛，我等会再在用Sreng/智能扫描一下上传，帮我看看哪里的问题，Thank you !

[quote] 原帖由 艾玛 于 2009-3-13 12:58:00 发表
安天的相关病毒分析报告，请受害者参阅并自行处理，若有新样本，请上传！

    这里有上次和本次扫描的日志。帮我看看。:default71:

附件: SREngLOG2.log

附件: SREngLOG.log

学习了。谢谢楼主