Trojan.Downloader.Win32.Cntr.ioq

编辑:纤细网互动百科 时间:2019-11-13 20:31:30
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
该病毒为儒虫类病毒,病毒运行之后创建互斥量“gagagaradio”,防止病毒多次运行,调用HttpOpenRequestA隐藏打开一个超级连接、连接到一个网站,创建一个svcp.csv文件到%System32%目录下,调用API函数InternetReadFile读取网络信息
中文名
Trojan.Downloader.Win32.Cntr.ioq
病毒类型
 蠕虫
公开范围
 完全公开
危害等级
 4

Trojan.Downloader.Win32.Cntr.ioq病毒标签

编辑
病毒名称: Trojan-Downloader.Win32.Cntr.ioq
病毒类型: 蠕虫
文件 MD5: F8820809EBCAB9AC87CA039A0D974F59
公开范围: 完全公开
危害等级: 4
文件长度: 7,680 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 7.0
传播方式: 利用电子邮件传播

Trojan.Downloader.Win32.Cntr.ioq病毒描述

编辑
将信息保存到svcp.csv文件中,调用InternetQueryDataAvailable函数,在%System32%目录下创建一个back.exe利用远程调用代码技术获取网络信息将病毒数据分段写入该文件中,访问网络判断病毒数据大小是否满足条件如满足则调用下载后的病毒文件运行,并将svcp.csv文件删除,修改及删除注册表,下载后的back.exe行为分析:调用back.exe调用函数,释放驱动文件“glok+3c51-3a43.sys、glok+serv.config”(其中glok为固定不变的其它为随机数字或字母),到%Windir%目录下,EnumServicesStatus 枚举系统服务,判断现有服务是否存在病毒服务,如存在则不创建病毒服务,否则创建病毒病毒服务,在本地按顺序隐藏打开病毒预定好的大量地址。

Trojan.Downloader.Win32.Cntr.ioq行为分析

编辑

Trojan.Downloader.Win32.Cntr.ioq本地行为

1、文件运行后会释放以下文件:
%system32%\back.exe  92,672 字节
%system32%\svcp.csv  64 字节
%system32%\glok+3c51-3a43.sys   128,640 字节(随机文件名)
%system32%\glok+serv.config   47,901 字节(随机文件名)
%system32%\winsub.xml  4 字节
2、修改注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\W32Time\Parameters\NtpServer
新: 字符串: "time.windows.com,time.nist.gov"
旧: 字符串: "time.windows.com,0x1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\W32Time\Parameters\NtpServer
新: 字符串: "time.windows.com,time.nist.gov"
旧: 字符串: "time.windows.com,0x1"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\6\Shell\ShowCmd
新: DWORD: 1 (0x1)
旧: DWORD: 3 (0x3)
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\6\Shell\WFlags
新: DWORD: 0 (0)
旧: DWORD: 2 (0x2)
3、删除注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Capabilities
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Class
值: 字符串: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\ClassGUID
值: 字符串: ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\ConfigFlags
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Control\ActiveService
值: 字符串: "Gpc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\DeviceDesc
值: 字符串: "Generic Packet Classifier"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Legacy
值: DWORD: 1 (0x1)
4、病毒运行之后创建互斥量“gagagaradio”,防止病毒多次运行,调用HttpOpenRequestA隐藏打开一个超级连接、连接到一个网站,创建一个svcp.csv文件到%System32%目录下。
5、调用API函数InternetReadFile读取网络信息,将信息保存到svcp.csv文件中,调用InternetQueryDataAvailable函数,在%System32%目录下创建一个back.exe,利用远程调用代码技术获取网络信息将病毒数据分段写入该文件中,访问网络连接=98&y=7621">http://213.155.3.**/aff/cntr.php?e=!!45337902_85_1_2_2&x=>=98&y=7621,判断病毒数据大小是否满足条件如满足则关闭网络句丙,调用下载后的病毒文件运行,并将svcp.csv文件删除。
6、下载后的back.exe行为分析:调用back.exe调用函数,释放驱动文件“glok+3c51-3a43.sys、glok+serv.config(其中glok为固定不变的其它为随机数字或字母),到%Windir%目录下,EnumServicesStatus 枚举系统服务,判断现有服务是否存在病毒服务,如存在则不创建病毒服务,否则创建病毒病毒服务,在本地按顺序隐藏打开病毒预定好的大量地址。

Trojan.Downloader.Win32.Cntr.ioq行为分析-网络行为

隐藏打开大量病毒预定好的网站地址 。
注: %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的位置。
%Windir%     WINDODWS所在目录
%DriveLetter%    逻辑驱动器根目录
%ProgramFiles%      系统程序默认安装目录
%HomeDrive%   当前启动的系统的所在分区
%Documents and Settings%  当前用户文档根目录
%Temp%  \Documents and Settings\当前用户\Local Settings\Temp
%System32%  系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是C:\Windows\System32

Trojan.Downloader.Win32.Cntr.ioq清除方案

编辑
1、使用安天防线可彻底清除此病毒(推荐)。
2 、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)使用ATOOL“进程管理”关闭病毒相关进程。
(2) 恢复注册表项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\W32Time\Parameters\NtpServer
新: 字符串: "time.windows.com,time.nist.gov"
旧: 字符串: "time.windows.com,0x1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\W32Time\Parameters\NtpServer
新: 字符串: "time.windows.com,time.nist.gov"
旧: 字符串: "time.windows.com,0x1"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\6\Shell\ShowCmd
新: DWORD: 1 (0x1)
旧: DWORD: 3 (0x3)
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\6\Shell\WFlags
新: DWORD: 0 (0)
旧: DWORD: 2 (0x2)
(3)恢复病毒删除的注册表项
删除的注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Capabilities
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Class
值: 字符串: "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\ClassGUID
值: 字符串: ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\ConfigFlags
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Control\ActiveService
值: 字符串: "Gpc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\DeviceDesc
值: 字符串: "Generic Packet Classifier"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_GPC\0000\Legacy
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft
\Windows\ShellNoRoam\MUICache
删除MUICache键下的所有键值
(4)删除病毒毒衍生的文件:
%system32%\back.exe 92,672 字节
%system32%\svcp.csv 64 字节
%system32%\glok+3c51-3a43.sys 128,640 字节(随机文件名)
%system32%\glok+serv.config 47,901 字节(随机文件名)
%system32%\winsub.xml 4 字节
词条标签:
计算机学 病毒