Trojan-Dropper.Win32.Agent.env(explorer.exe,netsrv.dll)病毒分析

sucop

出处：超级巡警团队 时间：2008年3月14日    Trojan-Dropper.Win32.Agent.env伪装为explorer.exe
隐藏在system32文件夹下，而系统正常的explorer.exe文件是在windows目录下的。此恶意程序会下载并运行近30个恶意程序，这些程序会盗取用户的敏感信息，占用系统资源。超级巡警团队提醒广大用户，要经常使用超级巡警进行全盘扫描，以保证系统不受恶意程序困扰。

一、病毒相关分析：

    病毒标签：
        病毒名称：Trojan-Dropper.Win32.Agent.env
        病毒类型：木马下载者
        危害级别：3
        感染平台：Windows
        病毒大小：4,248(字节)
        SHA1　　：87e7729f887a1142514fcc4541d705658e281421
        加壳类型：Upack
        开发工具：VC

    病毒行为：
        1、自制自身到%System%\explorer.exe
　　　　　 释放文件%System%\netsrv.dll
        2、试图注入netsrv.dll系统进程，监控发送到消息队列的消息。
        3、生成配置文件%System%\BOLE.INI和%System%\WIN.INI
　　　　　 并根据配置文件下载以下文件：
　　　　　 http://iii.*****.com/wm/1.exe      (20,268 字节)
　　　　　 http://iii.*****.com/wm/2.exe      (19,583 字节)
　　　　　 http://iii.*****.com/wm/3.exe      (18,336 字节)
　　　　　 http://iii.*****.com/wm/4.exe      (19,213 字节)
　　　　　 http://iii.*****.com/wm/5.exe      (12,208 字节)
　　　　　 http://iii.*****.com/wm/6.exe      (12,708 字节)
　　　　　 http://iii.*****.com/wm/7.exe      (17,268 字节)
　　　　　 http://iii.*****.com/wm/8.exe      (12,568 字节)
　　　　　 http://iii.*****.com/wm/9.exe      (15,288 字节)
　　　　　 http://iii.*****.com/wm/10.exe     (20,268 字节)
　　　　　 http://iii.*****.com/wm/11.exe     (12,184 字节)
　　　　　 http://iii.*****.com/wm/12.exe     (17,963 字节)
　　　　　 http://iii.*****.com/wm/13.exe     (12,668 字节)
　　　　　 http://iii.*****.com/wm/14.exe     (17,436 字节)
　　　　　 http://iii.*****.com/wm/15.exe     (18,373 字节)
　　　　　 http://iii.*****.com/wm/16.exe     (17,519 字节)
　　　　　 http://iii.*****.com/wm/17.exe     (18,829 字节)
　　　　　 http://iii.*****.com/wm/18.exe     (17,914 字节)
　　　　　 http://iii.*****.com/wm/19.exe     (20,015 字节)
　　　　　 http://iii.*****.com/wm/20.exe     (18,483 字节)
　　　　　 http://iii.*****.com/wm/21.exe     (11,736 字节)
　　　　　 http://iii.*****.com/wm/22.exe     (11,889 字节)
　　　　　 http://iii.*****.com/wm/23.exe     (13,192 字节)
　　　　　 http://iii.*****.com/wm/24.exe     (12,335 字节)
　　　　　 http://iii.*****.com/wm/25.exe     (12,964 字节)
　　　　　 http://iii.*****.com/wm/26.exe     (18,280 字节)
　　　　　 http://iii.*****.com/wm/27.exe     (20,332 字节)
　　　　　 http://iii.*****.com/wm/28.exe     (33,897 字节)
　　　　　 http://iii.*****.com/wm/29.exe     (78,919 字节)
        4、以上文件运行添加以下启动项，如图：
　　　

[/td][/tr][tr][td=1,4,4%]
[/td][td]

二、解决方案

    推荐方案：删除病毒的启动项并安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库，并进行全盘扫描。
　    　  　  超级巡警下载地址：http://www.dswlab.com/d1.html

三、安全建议

　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。
　　     5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　     6、禁用不必要的服务。
　　     7、及时更新常用软件，尤其是聊天工具。
　　     8、不要随便打开不明来历的电子邮件，尤其是邮件附件。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变
　　 量指%Windir%\System32。其它：
　　     %SystemDrive% 　　     　　 系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　WINDODWS系统目录
　　     %ProgramFiles%　 　 　　　　应用程序默认安装目录
　　     %AppData% 　　     　　     应用程序数据目录
　　     %CommonProgramFiles%　　    公用文件目录
　　     %HomePath% 　　     　　    当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　 当前活动用户临时目录
　　     %DriveLetter% 　　     　　 逻辑驱动器分区
　　     %HomeDrive% 　　　     　　 当前用户系统所在分区