desertwo

Backdoor.Win32.Agent.dfa


安天CERT
一、 病毒标签：
病毒名称： Backdoor.Win32.Agent.dfa
病毒类型： 后门
文件 MD5： 74E51BA6ABEC64A48FF45EBEF14C9A45
公开范围： 完全公开
危害等级： 3
文件长度： 45,268 字节
感染系统： windows98以上版本
开发工具： Microsoft Visual Basic 5.0 / 6.0
加壳类型： 无

二、 病毒描述：
该病毒发现于****大学内，利用U盘、MP3等移动设备进行传播。病毒内含QQ65409685、llm is my son等信息，病毒在%system32%下生成fuck you.txt 的文本文档，内容为：Powered by LLM, QQ：65409685。经推断病毒作者并非QQ号为65409658的使用者，而是一种嫁祸行为。病毒运行后每隔60秒会黑屏一秒，黑屏是专门设计的窗体，黑屏时不能进行输入输出的操作等，并且在重启机后也会有黑屏现象。该病毒提升用户Guest权限为管理员级，并设置密码，启动telnet服务，可以远程控制用户计算机，但由于病毒作者设计上的漏洞，如果telnet服务本身被禁止的话是启动不了telnet服务的，并且需要NtLmSsp服务的支持。修改计算机系统名为：QQ65409685。病毒复制自身到多个目录下，在注册表中添加了三处启动项，但由于格式错误，只有run键下的可以随机启动。在windows XP系统下，重新启动后无法使用鼠标双击和右键打开"本地磁盘"。

三、 行为分析：
1、病毒运行后复制自身并衍生病毒文件：
系统根目录下\ llm.exe
系统根目录下\ AutoRun.inf
%system32%\advanced.exe
%system32%\fuck you.txt
%system32%\dllcache\dcache.exe
%system32%\Microsoft\蠽.exe

2、修改注册表，添加启动项，以达到随开机启动的目的：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
键值: 字串: "system.exe"="C:\WINDOWS\system32\advanced.exe"

        3、由于格式错误，对以下注册表项的修改并未实现作用：
修改的注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\        Winlogon
新建键值: 字串: "Shell"="Explorer.exe "C:\WINDOWS\system32\dllcache\    dcache.exe""
原键值: 字串: "Shell"="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\        Winlogon\
新建键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,microsoft\蠽.exe"
原键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,"
                 
        4、修改计算机系统名为QQ65409685：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName\
新建键值: 字串: "ComputerName"="QQ65409685"
原键值: 字串: "ComputerName"="(原计算机系统名)"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName\
新建键值: 字串: "ComputerName"="QQ65409685"
原键值: 字串: "ComputerName"="(原计算机系统名)"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
新建键值: 字串: "CheckedValue"="0"
原键值: 字串: "CheckedValue"="1"

5、提升用户Guest权限为管理员级，并设置密码，启动telnet服务：
net user guest llmismyson
net user guest /active:yes
net localgroup administrators guest /add
net localgroup guests guest /del
net start telnet /y

6、利用U盘、MP3等移动设备进行传播：
OPEN=llm.exe
shell\open=打开(&O)
shell\open\Command=llm.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=llm.exe

7、在windows XP系统下、重新启动后无法使用鼠标双击和右键打开"本地磁盘"。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。