主题:Trojan.Win32.BHO.h查杀方法

Trojan.Win32.BHO.h分析报告


安天CERT

一、    病毒标签：

病毒名称： Trojan.Win32.BHO.h
病毒类型：　木马类
文件 MD5： 2D9840004345FF1B1862D6B522971188
公开范围： 完全公开
危害等级： 3
文件长度： 17,950 字节
感染系统： windows 98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： nSPack 2.1 - 2.5

二、 病毒描述：

该病毒为木马类，病毒运行后复制自身到系统目录：%system32%\DC61197E.EXE，释放%system32%\DC61197E.DLL进驻内存，使用delme.bat批处理删除原文件。 创建服务，并以服务的方式达到随机启动的目的。在每个驱动器的跟目录下释放文件AUTORUN.INF，达到随驱动器自动启动的目的。以DLL插入形式达到“击键记录”，“劫持浏览器”，“信息盗取”等目的。连接网络，下载相关病毒文件信息。具有反查杀功能。

三、 行为分析：

1、病毒运行后，复制自身到系统目录下，衍生病毒文件，并删除自身：
%system32%\DC61197E.DLL
%system32%\DC61197E.EXE

2、在每个驱动器的跟目录下释放文件，达到随驱动器自动启动的目的,释放文件如下:
%DriveLetter%\AUTORUN.INF
%DriveLetter%\ rising.exe

3、创建服务，并以服务的方式达到随机启动的目的：
服务名称： DC61197E
显示名称： DC61197E
描述：DC61197E
可执行文件的路径：C:\WINDOWS\system32\DC61197E.EXE -k
启动方式：自动

4、修改注册表值改变电脑默认配置, 以禁止弹出错误报告、使隐藏文件不可见：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DoReport
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ShowUI
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\UuidSequenceNumber
新: DWORD: 4163110 (0x3f8626)
旧: DWORD: 4163111 (0x3f8627)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)

5、查找EXPLORER.EXE和其它相关进程信息；设置远程线程来执行DC61197E.DLL,在执行时将DC61197E.DLL插入到EXPLORER.EXE进程和其它相关进程中达到“击键记录”，“劫持浏览器”，“信息盗取”等目的。

6、主动连接网络，下载相关病毒文件信息:

地址：端口： 
218.93.205.170：80

　　　　　　　下载相关病毒文件：
iexpl0re.exe
LgSy1.dll
one[1].exe
mh[1].exe
update[1].txt
count[1].htm
53318190.DLL
9395C820.EXE

7、尝试关闭卡巴斯基反病毒软件 6.0的通知窗体，使自身不被发现。该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

   
注释：
%Windir%                      WINDODWS所在目录
%DriveLetter%                逻辑驱动器根目录
%ProgramFiles%                系统程序默认安装目录
%HomeDrive%                  当前启动系统所在分区
%Documents and Settings%    当前用户文档根目录
%Temp%                        当前用户TEMP缓存变量；路径为：
%Documents and Settings%\当前用户\Local Settings\Temp
%System32%                    是一个可变路径；
病毒通过查询操作系统来决定当前System32文件夹的位置；
Windows2000/NT中默认的安装路径是　C:\Winnt\System32；
Windows95/98/Me中默认的安装路径是　C:\Windows\System；
WindowsXP中默认的安装路径是　C:\Windows\System32。
   
   
四、 清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：www.antiy.com 。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址: www.antiy.com或http://www.antiy.com/download/index.htm 。
(1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程
    强行终止插入的DC61197E.DLL

(2) 强行删除病毒文件
%system32%\DC61197E.DLL
%system32%\DC61197E.EXE
%DriveLetter%\AUTORUN.INF
%DriveLetter%\ rising.exe
iexpl0re.exe
LgSy1.dll
one[1].exe
mh[1].exe
update[1].txt
count[1].htm
53318190.DLL
9395C820.EXE

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DoReport
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\ShowUI
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\UuidSequenceNumber
新: DWORD: 4163110 (0x3f8626)
旧: DWORD: 4163111 (0x3f8627)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)

(4) 删除服务DC61197E

(5) 下载安天磁盘免疫工具AImmunity，进行全盘免疫旬，下载地址：
http://www.antiy.com/download/index.htm