Trojan.Downloader.Win32.Agent.yko

编辑:纤细网互动百科 时间:2019-11-20 00:33:10
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
该病毒为刷流量病毒,病毒运行后加载动态链接库urlmon.dll,获取%Temp%临时文件夹目录,利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下
中文名
Trojan.Downloader.Win32.Agent.yko
病毒类型
蠕虫
公开范围
完全公开
危害等级
4

Trojan.Downloader.Win32.Agent.yko病毒标签

编辑

Trojan.Downloader.Win32.Agent.yko病毒名称

Trojan-Downloader.Win32.Agent.yko

Trojan.Downloader.Win32.Agent.yko包含病毒

1、Trojan-Downloader.Win32.Agent.yko.lfb
2、Trojan-Downloader.Win32.Agent.yko.bmp
3、Trojan-Downloader.Win32.Agent.yko.cnv
4、Trojan-Downloader.Win32.Agent.yko.bdd
5、Trojan-Downloader.Win32.Agent.yko.puv
6、Trojan-Downloader.Win32.Agent.yko.arp (.b.exe MD5:74a9312c0c7b6146dc6d1ac3bb119f32 ,xof等)

Trojan.Downloader.Win32.Agent.yko病毒类型

Trojan.Downloader.Win32.Agent.yko文件MD5

37366A95A5D0FD0664CDAC6512DC77A5

Trojan.Downloader.Win32.Agent.yko公开范围

完全公开

Trojan.Downloader.Win32.Agent.yko危害等级

4

Trojan.Downloader.Win32.Agent.yko文件长度

77,312 字节

Trojan.Downloader.Win32.Agent.yko感染系统

Windows98以上版本

Trojan.Downloader.Win32.Agent.yko开发工具

Borland Delphi 6.0 - 7.0

Trojan.Downloader.Win32.Agent.yko加壳类型

ASPack 2.12 -> Alexey Solodovnikov

Trojan.Downloader.Win32.Agent.yko病毒描述

编辑
该病毒为刷流量病毒,病毒运行后加载动态链接库urlmon.dll,获取%Temp%临时文件夹目录,利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下,重命名为:TBHAILYFXYV.zbc(随机病毒名),在%system32%\oobe目录下利用命令行方式创建一个windows下删不掉的文件夹命名为:“bak..”,将%Temp%临时文件夹TBHAILYFXYV.zbc文件,利用命令行方式拷贝到%system32%\oobe\bak.目录下,命名为:Outputbat.txt,作为作为代码的备份,遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc(随机病毒名), 将文件时间值转换成DOS日期和时间值,并在临时目录下创建一个后缀以EXE同名的文件,获取MZP头以命令行方式将病毒打包成自解压文件并设置密码为:“logved*log;7^5#;tvn”,以达到杀毒软件无法解压文件而不能查杀该病毒文件的目的,在DOS下使用命令行解压文件install.exe,并以命令行方式启动该文件,在%system32%\oobe\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象,病毒文件并创建一个名为5046(4位随机数字)并释放一个病毒文件svchost.exe到该目录下,创建该病毒进程,该文件用来定时隐藏打开大量的网页地址,添加注册表启动项,穿过windows自带防火墙,执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除,最后创建$$30689.bat批处理文件删除病毒原文件。

Trojan.Downloader.Win32.Agent.yko行为分析

编辑

Trojan.Downloader.Win32.Agent.yko本地行为

1、文件运行后会释放以下文件
%system32%\302fcc88b1.dll 92,672 字节 (10位随机数字与字母组合病毒名)
%windir%\f218f4fbb2.dll 64 字节 (10位随机数字与字母组合病毒名)
%system32%\oobe\0755\svchost.exe 871,936 字节 (4位随机数字文件夹名)
%system32%\oobe\qnujhyroni.dll 563,712 字节
2、修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\oobe\unkgknroni.dll"
描述:添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291-A535-F6D16BA08D68}\ProgID\@
值: 字符串: "unkgknroni.XunBHoSwf"
描述:病毒文件注册为BHO的名称
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unkgknroni.XunBHoSwf\Clsid\@
值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"
描述:注册CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{03C12478-A0D3-4291-A535-F6D16BA08D68}\
描述:将病毒DLL文件注册为BHO浏览器辅助对象
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
\C:\WINDOWS\system32\oobe\7955\svchost.exe
值: 字符串: "C:\WINDOWS\system32\oobe\7955\svchost.exe:*:Enabled:svchost"
描述:将病毒文件设置为Windows自带防火墙为旅行,达到调过防火墙窗口询问目的
3、病毒运行后加载动态连接库文件urlmon.dll,获取%Temp%临时文件夹目录, 利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码到本机保存到临时文件夹下,重命名为:TBHAILYFXYV.zbc(随机病毒名)
4、在%system32%\oobe目录下利用DOS命令行方式:CMD /C MD C:\WINDOWS\system32\oobe\bak.\创建一个windows下删不掉的文件夹命为:“bak..”,将%Temp%临时文件夹TBHAILYFXYV.zbc文件,利用命令行方式:CMD /C COPY C:\DOCUME~1\a\LOCALS~1\Temp\TBHAILYFXYV.zbc
C:\WINDOWS\system32\oobe\bak..\Outputbat.txt /Y拷贝到%system32%\oobe\bak.目录下,命名为:Outputbat.txt,作为作为病毒代码的备份。
5、遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc(随机病毒名), 将文件时间值转换成DOS日期和时间值,并在临时目录下创建一个后缀以TBHAILYFXYV.EXE同名的文件,获取MZP头以命令行方式:""%s" -p"%s" -o- -s -d"%s将病毒打包成自解压文件并设置密码为:“logved*log;7^5#;tvn”
6、在DOS下使用命令行:C:\DOCUME~1\a\LOCALS~1\Temp\KHOANEHWQPR.exe" -p"logved*log;7^5#;tvn" -o- -s -d"C:\DOCUME~1\a\LOCALS~1\Temp\解压文件install.exe,并以命令行方式启动该文件, 在%system32%\oobe\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象,病毒文件并创建 一个名以5046(4位随机数字的目录)并释放一个病毒文件svchost.exe到该目录下,创建该病毒进 程,该文件用来定时隐藏打开大量的网页地址,执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除,最后创建$$30689.bat批处理文件删除病毒原文件

Trojan.Downloader.Win32.Agent.yko网络行为

连接以下网址统计病毒安装情况,并顺序隐藏打开大量病毒预定好的网址:
http://www.ww****.cn/usersetup.asp?
action=027B04E05BE9C3AD11EFF8364C0F7008436CB1B5107441BBC4A0BD
F4DD741245DB1256C8ADF1A18A827E643FB175282FC3D4B
http://www.ww****.cn/usersetup.asp?
action=6D663F4F2B2AC7480D4710CBFE9572144AAA68BBF4D73AF73792A323C9E9416F34BED60
08CE304CC8E75B079077CEA8EE6318EA8F840EDEE32AFED2FB03C8CFF19818140F3646A4ABDA27E
22232B6796EFDC24927BC7BEB6C9C63CBFA8EABB0B87513EED40601DDDF3F1C3D3B166C74DB17E7A
7CCCE1AA93CDDD2777182AD129
*163*.txt
*yahoo*.txt
*sina*.txt
*3721*.txt
*alimama*.txt
*mmstat*.txt
*114*.txt
*yisou*.txt
*baidu*.txt
*google*.txt
*9v*.txt
*alibaba*.txt
*lianmeng*.txt
*2t3t*.txt
*sogou*.txt
*aliunion*.txt
*narrowad*.txt
*bolaa*.txt
*forsky*.txt
*heima8*.txt
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir%     WINDODWS所在目录
%DriveLetter%    逻辑驱动器根目录
%ProgramFiles%      系统程序默认安装目录
%HomeDrive%   当前启动的系统的所在分区
%Documents and Settings%   当前用户文档根目录
%Temp%  \Documents and Settings \当前用户\Local Settings\Temp
%System32%   系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是C:\Windows\System
windowsXP中默认的安装路径是%system32%

Trojan.Downloader.Win32.Agent.yko清除方案

编辑
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用ATOOL“进程管理”关闭%system32%\oobe\0755\svchost.exe路径的病毒进程
(2) 恢复注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3
-4291-A535-F6D16BA08D68}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\oobe\unkgknroni.dll"
描述:添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C12478-A0D3-4291
-A535-F6D16BA08D68}\ProgID\@
值: 字符串: "unkgknroni.XunBHoSwf"
描述:病毒文件注册为BHO的名称
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unkgknroni.XunBHoSwf\Clsid\@
值: 字符串: "{03C12478-A0D3-4291-A535-F6D16BA08D68}"
描述:注册CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{03C12478-A0D3-4291-A535-F6D16BA08D68}\
描述:将病毒DLL文件注册为BHO浏览器辅助对象
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\
List\C:\WINDOWS\system32\oobe\7955\svchost.exe
值: 字符串: "C:\WINDOWS\system32\oobe\7955\svchost.exe:*:Enabled:svchost"
描述:将病毒文件设置为Windows自带防火墙为旅行,达到调过防火墙窗口询问目的
(3) 删除病毒毒衍生的文件:
%system32%\302fcc88b1.dll
%windir%\f218f4fbb2.dll
%system32%\oobe\0755\svchost.exe
%system32%\oobe\qnujhyroni.dll
使用命令:rd bak..\/s在CMD命令下删除%system32%\oobe\目录下的bak.文件夹,或使用ATOOL工具强行删除该文件夹
词条标签:
计算机学 病毒