病毒标签

病毒名称： Trojan-Downloader.Win32.Agent.yko

病毒类型： 蠕虫

文件 MD5： 37366A95A5D0FD0664CDAC6512DC77A5

公开范围： 完全公开

危害等级： 4

文件长度： 77,312 字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： ASPack 2.12 -> Alexey Solodovnikov

病毒描述

该病毒为刷流量病毒，病毒运行后加载动态链接库urlmon.dll，获取%Temp%临时文件夹目录，利用URLDownloadToFile函数从网上读取TXT列表代码将病毒文件代码保存到临时文件夹下，重命名为：TBHAILYFXYV.zbc（随机病毒名），在%system32%\oobe目录下利用命令行方式创建一个windows下删不掉的文件夹命名为：“bak..”，将%Temp%临时文件夹TBHAILYFXYV.zbc文件，利用命令行方式拷贝到%system32%\oobe\bak.目录下，命名为：Outputbat.txt，作为作为代码的备份，遍历%Temp%临时文件夹查找TBHAILYFXYV.zbc（随机病毒名）， 将文件时间值转换成DOS日期和时间值，并在临时目录下创建一个后缀以EXE同名的文件，获取MZP头以命令行方式将病毒打包成自解压文件并设置密码为：“logved*log;7^5#;tvn”，以达到杀毒软件无法解压文件而不能查杀该病毒文件的目的，在DOS下使用命令行解压文件install.exe，并以命令行方式启动该文件，在%system32%\oobe\目录下释放unkgknroni.dll并将其注册为BHO浏览器辅助对象，病毒文件并创建一个名为5046（4位随机数字）并释放一个病毒文件svchost.exe到该目录下，创建该病毒进程，该文件用来定时隐藏打开大量的网页地址，添加注册表启动项，穿过windows自带防火墙，执行完毕后将%Temp%临时文件夹下TBHAILYFXYV.zbc、install.exe文件删除，最后创建$$30689.bat批处理文件删除病毒原文件。

行为分析

本地行为

1、文件运行后会释放以下文件

%system32%\302fcc88b1.dll 92,672 字节 (10位随机数字与字母组合病毒名)

%windir%\f218f4fbb2.dll 64 字节 (10位随机数字与字母组合病毒名)

%system32%\oobe\0755\svchost.exe 871,936 字节 (4位随机数字文件夹名)

%system32%\oobe\qnujhyroni.dll 563,712 字节