安天防线
安天防线主页 安天防线使用指南 安天防线软件下载 安天防线在线安装 安天防线产品升级 安天防线产品购买 安天防线客户服务 安天防线安全资讯 安天防线论坛交流
首  页   使用指南   软件下载   在线安装   产品升级   产品购买   客户服务   安全资讯   论坛交流
安天防线免费下载
安天防线在线安装
安天防线产品升级
安天防线产品购买
 
Rootkit.Win32.Agent.btu分析
 
出处:安天实验室 时间:2008年8月13日
 

  • 病毒标签:

    • 病毒名称: Rootkit.Win32.Agent.btu
    病毒类型: 后门类
    文件 MD5: BD4D289E61207841F6F6A9BDCDD46BA3
    公开范围: 完全公开
    危害等级: 4
    文件长度: 81,920 字节
    感染系统: Windows98以上版本
    开发工具: Microsoft Visual C++ 6.0

  • 病毒描述:

    •     该病毒后门类,病毒运行后获取系统文件夹路径%System32%\drivers\beep.sys,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,以系统原服务加载病毒释放的驱动文件,达到不对注册表操作的目的,即可躲避多款杀软的主动防御,释放驱动文件恢复SSDT使卡巴主动防御失效,等待加载完驱动后将beep.sys驱动文件删除,释放临时文件1923531_res.tmp到%temp%目录下,将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为:BITSEx.dll,执行完毕后将临时文件1923531_res.tmp删除,修改添加注册表病毒项,将病毒BITSEx.dll文件注入到svhost.exe进程中,等待病毒执行完以上操作将以命令行方式删除病毒自身,等待接受病毒作者发送的控制指令,受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。

  • 行为分析-本地行为:

    • 1、文件运行后会释放以下文件
    %System32%\BITSEx.dll     69,632 字节

    2、修改注册表项:
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS\0000\Service]
    值: 字符串: "BITS"
    描述:病毒服务名

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll]
    新: C:\WINDOWS\system32\BITSEx.dll.
    旧: C:\WINDOWS\system32\qmgr.dll.
    描述:将注册表启动的DLL文件修改为病毒文件的DLL文件,使系统启动加载病毒文件

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Start]
    新: DWORD: 2 (0x2)
    旧: DWORD: 3 (0x3)
    描述:设置病毒服务的启动方式为自动

    3、获取系统文件夹路径%System32%\drivers\beep.sys,调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除,并创建一个同名的文件,以系统原服务加载病毒释放的驱动文件,达到不对注册表操作的目的,即可躲避多款杀软的主动防御,释放驱动文件恢复SSDT使卡巴主动防御失效,等待加载完驱动后将beep.sys驱动文件删除。

    4、释放临时文件1923531_res.tmp到%temp%目录下,将文件创建时间修改成2004年然后将文件拷贝到%System32%目录下并重命名为:BITSEx.dll,执行完毕后将临时文件1923531_res.tmp删除。

    5、将病毒BITSEx.dll文件注入到svhost.exe进程中,等待病毒执行完以上操作将以命令行方式《/c del %s > nul》删除病毒自身,等待接受病毒作者发送的控制指令。

  • 行为分析-网络行为

    • 协议:TCP
    端口:48
    连接服务器名:nbnb48.3***.org
    IP地址:61.151.239.***
    连接到该服务器等待接受病毒作者发送的控制指令

    注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir%             WINDODWS所在目录
         %DriveLetter%          逻辑驱动器根目录
         %ProgramFiles%          系统程序默认安装目录
         %HomeDrive%           当前启动的系统的所在分区
         %Documents and Settings%    当前用户文档根目录
         %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
         %System32%           系统的 System32文件夹
        
         Windows2000/NT中默认的安装路径是C:\Winnt\System32
         windows95/98/me中默认的安装路径是C:\Windows\System
         windowsXP中默认的安装路径是C:\Windows\System32  

  • 清除方案:

    • 1、使用安天防线可彻底清除此病毒(推荐),请点击下载
    2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1) 使用ATOOL进程管理找到svhost.exe进程中模块中的BITSEx.dll病毒文件强行结束该病毒进程模块。

    (2) 强行删除病毒衍生的文件%System32%\BITSEx.dll

    (3) 删除病毒创建的注册表项,恢复注册表修改项
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_BITS\0000\Service]
    值: 字符串: "BITS"
    删除该键值

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Parameters\ServiceDll]
    新: C:\WINDOWS\system32\BITSEx.dll.
    旧: C:\WINDOWS\system32\qmgr.dll.
    恢复注册表原值C:\WINDOWS\system32\qmgr.dll.

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Start]
    新: DWORD: 2 (0x2)
    旧: DWORD: 3 (0x3)
    恢复注册表原值DWORD: 3 (0x3)