Trojan-Downloader.Win32.Adload.ci分析

病毒標簽：
病毒名稱： Trojan-Downloader.Win32.Adload.ci
病毒類型： 木馬類
文件 MD5： bed1b615302f8958068824f7bbc1f51e
公開範圍： 完全公開
危害等級： 中等
文件長度： 140,800 字節
感染係統： Win9X以上版本
開發工具： Borland Delphi 6.0 - 7.0
加殼類型： PECompact 2.x -> Jeremy Collake
命名對照： Symentec[無]
　　　　　 Mcafee[無]

病毒描述：
　　 該病毒運行後，建立文件夾%\System32%\microsoft和%\Program Files%\pcast。
並在pcast文件夾下釋放兩個文件分別爲download.ini和updat.exe.而後病毒會訪問2**.100.33.13，下載病毒文件到%Documents and Settings\Administrator\Local Settings\Temp%，
並會打開計劃任務，添加一個名爲DM_Install_Program.jobdmremotesetup的任務。
執行路徑爲%\documents and settings\當前用戶名\localsettings\temp\\101577.exe，該病毒對用戶有一定危害。

行爲分析：
1、釋放文件夾及相關文件：
%\System32\%microsoft\Protect\S-1-5-18\User
\76d00f4a-dc1c-481e-86be-5c4366c95531
%\System32\%microsoft\Protect\S-1-5-18\User\Preferred
%\System32\%microsoft\Crypto
%\System32\%microsoft\Protect
%\Program Files\%pcast\PodcastbarMini\ownload.ini
%\Program Files\%pcast\PodcastbarMini\updat.exe
%Documents and Settings\Administrator
\Local Settings\Temp%\1.exe
%Documents and Settings\Administrator
\Local Settings\Temp%\101577.exe

2、新建注冊表項：
HKEY_LOCAL_MACHINE\SOFTWARE\sharehelper\Install\OEMURL
值: 字符串: "http://ulink4.dudu.com/s....exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
值: 字符串: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101577.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
\List\%\Program Files\pcast\PodcastbarMini\%update.exe"
值: 字符串: "C:\Program Files\pcast\PodcastbarMini\update.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\DOCUME~1\當前用戶名\LOCALS~1\Temp\101577.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\Program Files\pcast\PodcastbarMini\update.exe

3、病毒運行後連接下列地址：
6*.183.15.233
2**.100.33.13

4、病毒運行後添加一項計劃任務：
描述
發行商
映象路徑
DM_Install_Program.jobdmremotesetup
1000 Oaks
%\documents and settings\當前用戶名\local settings\temp\101577.exe
注：% System%是一個可變路徑。病毒通過查詢操作係統來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案 ：

手工清除請按照行爲分析刪除對應文件，恢複相關係統設置。
(1) 進程管理”關閉病毒進程
(2) 刪除病毒文件：
%\System32\%microsoft\Protect\S-1-5-18\User
\76d00f4a-dc1c-481e-86be-5c4366c95531
%\System32\%microsoft\Protect\S-1-5-18\User\Preferred
%\System32\%microsoft\Crypto
%\System32\%microsoft\Protect
%\Program Files\%pcast\PodcastbarMini\ownload.ini
%\Program Files\%pcast\PodcastbarMini\updat.exe
%Documents and Settings\Administrator\Local Settings\Temp%\1.exe
%Documents and Settings\Administrator\Local Settings\Temp%\101577.exe
(3) 刪除病毒添加的計劃任務。
(4) 恢複病毒修改的注冊表項目，刪除病毒添加的注冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\sharehelper\Install\OEMURL
值: 字符串: "http://ulink4.dudu.com/s....exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
值: 字符串: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101577.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
\List\%\Program Files\pcast\PodcastbarMini\%update.exe"
值: 字符串: "C:\Program Files\pcast\PodcastbarMini\update.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\DOCUME~1\當前用戶名\LOCALS~1\Temp\101577.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\Program Files\pcast\PodcastbarMini\update.exe