Trojan.Win32.Agent.vti的查杀举例

作者：清新阳光                                          ([url]http://hi.baidu.com/newcenturysun[/url]) 

这个病毒就是前些日子分析的auto.exe的变种
特征和原来的完全相同
瑞星报的Trojan.Win32.Agent.vti只是这个病毒释放的一个dll,由于瑞星不能检测出病毒主程序，所以导致清除掉内存中的Trojan.Win32.Agent.vti以后，重启后病毒的主程序仍会释放那个dll,从而出现履杀不净的情况。
下面是关于这个病毒的简要分析和查杀方法：

File: auto.exe
Size: 21551 bytes
MD5: 17397C773EFF2D052BC3CBE66512DAB1
SHA1: B9B7383E6BE4111DF1889591F0BA0153FF1EE323
CRC32: 235B28FE

病毒生成物特点：
在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程（瑞星报的就是这个dll）
以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称

并在每个磁盘的根目录下生成一个auto.exe和autorun.inf

本例中生成物如下：
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE

注册为如下服务：B12E7AC4

连接网络下载木马，木马下载的种类千变万化，所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。

本例中木马植入完毕以后生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...

对应的sreng日志如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe>    []
      <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []
      <DiskMan32><C:\WINDOWS\kterzx.exe>    []
      <WinForm><C:\WINDOWS\WinForm.exe>    []
      <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []
      <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>    []
      <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []
      <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <NVDispDrv><C:\WINDOWS\kterzx.exe>    []
==================================
服务
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]
    <C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation>
==================================
正在运行的进程
[PID: 1672][C:\WINDOWS\Explorer.EXE]    [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
      [C:\WINDOWS\system32\mppds.dll]    [N/A, ]
      [C:\WINDOWS\system32\upxdnd.dll]    [N/A, ]
      [C:\WINDOWS\system32\AVPSrv.dll]    [N/A, ]
      [C:\WINDOWS\system32\DiskMan32.dll]    [N/A, ]
      [C:\WINDOWS\system32\NVDispDrv.dll]    [N/A, ]
      [C:\WINDOWS\system32\MsIMMs32.dll]    [N/A, ]
      [C:\WINDOWS\system32\WinForm.dll]    [N/A, ]
      [C:\WINDOWS\system32\cmdbcs.dll]    [N/A, ]
      [C:\WINDOWS\system32\DbgHlp32.dll]    [N/A, ]
      [C:\WINDOWS\system32\Kvsc3.dll]    [N/A, ]
      [C:\WINDOWS\system32\E2050308.DLL]    [Microsoft Corporation, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

查杀方法：

一.清除病毒主程序（随机8位字母和数字组合的exe和dll）
1.首先下载sreng这个软件（[url]http://download.kztechs.com/files/sreng2.zip[/url]）

解压缩后运行srengps.exe

依次点击“启动项目”-“服务”-“Win32服务应用程序”    之后勾选“隐藏经认证的微软项目”
等待列表出来之后 查找那种不规则的随机8位字母（大写）和数字组合的服务

然后选中下面的 “删除服务” 并单击设置按钮

在弹出的框中点“否”

2.重启计算机进入安全模式下

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击    菜单栏下方的 文件夹按钮（搜索右边的按钮）

在左边的资源管理器中打开C盘（系统盘）

删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf

%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE

至此病毒主程序已经被删除了，接下来清除其下载的木马

二.清除病毒下载的木马（由于每个变种下载的木马不尽相同，因此本例仅供参考）
还是在安全模式下

打开sreng
启动项目    注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe>    []
      <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []
      <DiskMan32><C:\WINDOWS\kterzx.exe>    []
      <WinForm><C:\WINDOWS\WinForm.exe>    []
      <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []
      <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>    []
      <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []
      <DbgHlp32><C:\WINDOWS\DbgHlp32.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []

      <NVDispDrv><C:\WINDOWS\kterzx.exe>    []

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击    菜单栏下方的 文件夹按钮（搜索右边的按钮）

在左边的资源管理器中打开C盘（系统盘）

删除如下文件
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\Kvsc3.dll

最后需要修复或者重装瑞星杀毒软件，并一定修改你的网络游戏密码。

另外此病毒一般通过U盘等移动存储传播，所以如果你电脑最近有插过移动存储，那么大致可以判断病毒是从移动存储传播到你的电脑里的。对于此类病毒，烦请大家做好如下预防工作，不要再让这类病毒扩散了。（这种东西下载的木马很多，看日志眼都会花的）

1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。

2.锁住某些注册表权限
开始－运行－输入regedit,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2，右键单击这个键，权限，把管理员的权限设置为拒绝。

3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如×××的U盘病毒免疫器：[url]http://update3.dswlab.com/antiautorun.zip[/url]

4.克服拿来陌生U盘就双击打开的方法！！！
最安全的打开U盘方式如下
打开我的电脑    点击菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入U盘（同上面清除病毒时打开磁盘分区的方法）