病毒描述 病毒名称 : Trojan/Generic.apyqx 文件MD5 : 7CC90D38D7E4A714727347CB967D33CA 文件大小 : 24,576字节 编写环境 : C++ 是否加壳 : 无壳 文档公开级别 : 完全公开 病毒执行体描述: Trojan/Generic.apyqx 是一款信息收集的下载者,针对特定的进程进行恶意病毒的下载,如果当前系统内进程无下载配置文件列表中相同的信息,则不对系统进行下载,初次运行会先检测当前系统环境操作系统系统版本,本机机器名,MAC地址,是否有敏感进程(如QQ)等这些,都会收集发送到黑客自己的服务器上,并将自身复制到软件安装目录下, “Crogram FilesCommon Files”名称为“lsass.exe”,(lsass.exe是微软自身系统文件,它用于本地安全和登陆策略 ),这里病毒伪装成”lsass.exe“是用来欺骗用户。在安全软件发现威胁的时候诱导用户点击放过。并且运行过程程序不会自删,监视系统内进程的创建,发现敏感线程则读取服务器中的病毒进行下载,配置文件为加密的INI文件,Windows提供一组API供操作INI文件,在配置文件解析上变得很简单。在重启后此病毒并不会随系统启动而启动。 病毒行为流程分析: 一、样本初次运行后会搭建执行环境,将自身复制到“C:Program FilesCommon Files”目录下并重命名为“lsass.exe”。运行伪装的“lsass.exe”后,便进入遍历当前进程列表的工作流程,将当前进程列表完全保存起来,取得当前系统的机器名,网卡地址,后开始连接网络,下载配置文件到本地,存储在“C:Program FilesCommon Files”目录下名称为“iexplore.ini”,内容被加密,解密后内容存储与相应进程配对的下载文件。 解密后截图
二、 Trojan/Generic.apyqx 执行后会在后台启动“C:Program FilesCommon Fileslsass.exe”一直监视系统进程的创建,更新进程列表,以便对相应的进程进行对应的下载。这么做的目的主要是为了防止大量的截取信息软件的运行导致系统变慢,从而做成针对性的截取,防止用户察觉。 网络行为 http://102.102.33.101:8866/xz.txt 配置文件 http://102.102.33.101:88/count.asp?mac=xxxxx&id=00&explorer=xxxx 将本机信息传递至服务端 病毒技术要点 Trojan/Generic.apyqx 病毒不是传统病毒那样完成自身任务后会自删除,会添加开机启动项等,这些都没有做,只是初次运行后把自己伪装成系统文件(lsass.exe),以lsass.exe进程运行,用户发现后会搜索此进程功能,系统进程都会有相应的描述,以此来伪装欺骗用户放过。新意的地方是在下载病毒中,并不像以往病毒那样全部下载病毒到本地运行,而是有针对性的选择进行下载,控制了用户机器状态,防止因为过卡导致重启或者重装系统。 Trojan/Generic.apyqx 并没有对开机启动做操作,所以在系统内没有它关注的进程的情况下,只需重启就可以不被干扰了。若是有被关注的进程且已下载病毒的情况下,就需要安全软件进行扫描了。 病毒清理流程 1. 用安全软件或者江民进程管理器,在进程列表中找到名为“lsass.exe”的进程,且执行路径是“C:Program FilesCommon Fileslsass.exe”,停止并且删除路径文件lsass.exe。 2. 下载杀毒软件进行全盘扫描,防止有未知病毒已经被下载。 |