当前位置:中国反病毒小组 >> 病毒资讯 >> 最新病毒 >> 浏览文章
“苍蝇贼”变种又来袭 用户面临多重威胁
作者:佚名 日期:2012年07月16日 来源:江民 浏览: 【字体:
核心提示:病毒描述 病毒名称    :  TrojanDownloader.FlyStudio.ctb 文件MD5     :  0078624DF529490D4A750FB433A09508 文件大小    :  1,376,337 字节 编写环境    :  易语言 是否加壳    :  UPX_SFX 文档公开级
保护您的计算机 打造洁净网络 中国反病毒小组给您安全的保障
MYSQL安装图解 PHP MYSQL MYSQL下载 iis下载 iis php IIS是什么
中国反病毒小组网2012年07月16日消息:

病毒描述

病毒名称    :  TrojanDownloader.FlyStudio.ctb
文件MD5     :  0078624DF529490D4A750FB433A09508
文件大小    :  1,376,337 字节
编写环境    :  易语言
是否加壳    :  UPX_SFX


文档公开级别 : 完全公开



病毒执行体描述

    TrojanDownloader.FlyStudio.ctb 是用易语言编写的一款集合远程控制、下载者、木马盗号等多种功能的病毒。此样本为易语言框架编写,在运行时需要易语言框架支持,释放易语言支持文件及自身至%SystemRoot%\System32\drivers目录下,文件释放完毕运行base.exe,此文件为易语言编写的病毒执行体,首先会判断当前系统信息,网络连接是否通畅,下载木马病毒,与远程服务器交互,注入系统服务一系列操作。



病毒行为流程分析:

一.
    程序第一次运行的是搭载用自解压缩包的文件格式,并加UPX压缩壳,对体积减小,运行后将相关组件释放到%SystemRoot%\System32\drivers目录下,创建进程base.exe,运行后自解压文件任务完成。

二.
    Base.exe运行后首先会检测当前网络是否通畅,并以连接baidu.com的方式查看域名服务器是否有问题,尝试打开“http://bddj1.3322.org/best/update.txt”网站进行读取新的配置,是否更新文件,以及下载其他病毒样本。
又尝试连接“bddj2.3322.org”以及“bddj3.3322.org”,等待服务器的返回数据,依此判断是一个可以与服务端交互的样本,另外样本可安装的功能有,对网页注入检测网站的关键字,对感兴趣的数据进行拦截记录。
    并对下载的文件进行延迟访问的方式来运行,可避免主动防御对API的检测.Base.exe对自身系统原有的文件不做任何操作,下载的文件运行后样本会自删,下载的样本无法自动截取到。
    删除”%SystemRoot%\Media\Windows XP 开始.wav”,并收集本机信息。

三.
    当检测到有IE进程启动,就对IE进行劫持,判断当前打开的网页,或者访问的信息是否是自己关注的,配合连接服务端的功能,对中毒的机器远程控制。连接服务端功能在开启线程里面完成,而且一直访问,如果服务器不通,则进行无限循环,直到服务器返回数据才进行后面安装等功能的处理。


释放的文件:

%SystemRoot%\system32\drivers\dp1.fne         //易语言支持文件
%SystemRoot%\system32\drivers\com.run         //易语言支持文件
%SystemRoot%\system32\drivers\krnln.fnr       //易语言支持文件
%SystemRoot%\system32\drivers\shdocvw.dll     //易语言支持文件
%SystemRoot%\system32\drivers\sock.fne        //易语言支持文件
%SystemRoot%\system32\drivers\spec.fne        //易语言支持文件
%SystemRoot%\system32\drivers\internet.fne    //易语言支持文件
%SystemRoot%\system32\drivers\EXMLParser.fne  //易语言支持文件
%SystemRoot%\system32\drivers\base.exe        //病毒执行体
%SystemRoot%\system32\drivers\ver.ini         //当前病毒版本号
%SystemRoot%\system32\drivers\up.ini          //是否有可升级的文件


病毒技术要点

    TrojanDownloader.FlyStudio.ctb 主要的技术点在于使用易语言的支持库来支持自身的运行,在杀毒软件进行查杀时,在定位文件时,首先会定位到易语言的支持库,如果讲此种文件报毒,则会对其他正常客户使用出现问题病毒作者利用易语言支持库巧妙躲避查杀,但随着盗版用户增多,现在盗版的编译器在编译完会对程序做一些修改,导致与正版文件编译的不一样,杀毒厂商针对此种进行定位也可以快速定位到文件。
    样本的功能上面不是单纯的下载病毒载体的行为,有与服务端交互功能,拦截敏感信息功能。下载自动更新功能,等多种功能集合在一起,这种用非微软官方编译器写出来的程序,以病毒来看是很少见的。
    Base.exe运行的过程中,一直的隐藏,所以用特殊的安全工具才能看见此进程。



病毒清理流程

1. Base.exe病毒运行后如果服务器未响应,则每隔一段时间对服务器进行连接,并且后面不再继续运行,等待服务器返回后继续。
2.清除此病毒,需要先停止Base.exe,用江民进程管理器找到此进程,强行结束。则就组织了病毒与服务端的通信,而其下载的样本在运行后都会自动删除,在捕捉方面有困难性,可以用江民杀毒软件进行全盘扫描。
  

删除以下文件
%SystemRoot%\system32\drivers\base.exe  //病毒执行体
%SystemRoot%\system32\drivers\ver.ini  //当前病毒版本号
%SystemRoot%\system32\drivers\up.ini   //是否有可升级的文件
对于易语言支持库文件,删除与不删除对系统都无破坏作用,只是支持运行。

删除病毒修改过的注册表项


由于病毒后期完成的功能比较多,故在开始安装的时候提供很多文件容易混淆,只要清晰识别出易语言支持库后,此样本即可判定为恶意文件。

 

中国反病毒小组
此文章对你有帮助吗?如果未能解决你的困扰,请访问我们的论坛发帖求助吧,我要求助!
分享按钮
Tegs:
责任编辑:xyulab
上一篇文章:“通犯”变种pjv频繁攻击用户成7月主要安全威胁 下一篇文章:蠕虫“U盘杀手”出现一种新变种
友荐云推荐
Copyright 2007-2013 www.china-antivirus.com, ALL Rights Reserved.
保护您的计算机 打造洁净网络 中国反病毒小组给您安全的保障
豫ICP备11016355号-1