YY盗号木马

Trojan.Win32.Agent.bkny

捕获时间

2011-06-13

危害等级

中

病毒症状

  该样本是使用“VC ”编写的“木马程序”，由微点主动防御软件自动捕获，采用“UPX”加壳方式试图躲避特征码扫描,加壳后长度为“6,144”字节，图标为“”，使用“exe”扩展名，通过文件捆绑、网页挂马、下载器下载等方式进行传播。病毒主要目的是盗取用户YY语音帐号和密码。
用户中毒后会出现YY语音帐号密码丢失现象

感染对象

Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7

传播途径

文件捆绑、网页挂马、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现木马"Trojan.Win32.Agent.bkny”，请直接选择删除（如图2）。

图2   微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1、手动删除以下文件：
%SystemDriver%\test.bat
%SystemDriver%\YYCtrl.dll

2、手动删除以下注册表项：
HKEY_CLASSES_ROOT\CLSID\{8240XXXXXX-XXXX-XXXX-XXX}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析：

1.创建文件%SystemDriver%\test.bat
2.获得木马自身路径然后比较木马运行参数是否是loop是的话就结束
3.开打进程获得木马自身所在路径
4.打开注册表HKEY_CLASSES_ROOT\CLSID\{8240XXXXXX-XXXX-XXXX-XXX}
5.将自身拷贝替换到C:\DOCMENT~1\ADMINI~1\LOCALS~1\temp\Procmon.exe
6.休眠0.5秒
7.操作注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
8.以隐藏窗口的方式运行C:\DOCMENT~1\ADMINI~1\LOCALS~1\temp\Procmon.exe
9.操作注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Safer\CodeIdentifiers
10.查找运行中的进程中有没有“duospeak”(也就是YY语音的进程名)的进程。如果没有就推出
11.查找yy语音中的资源，然后查找YYCtrl.dll并拷贝到%SystemDriver%\system32目录下
12.替换YY语音的资源文件，当用户登录时候乘机盗取用户帐号和密码

病毒创建文件：

%SystemDriver%\test.bat
%SystemDriver%\YYCtrl.dll

病毒创建注册表：

HKEY_CLASSES_ROOT\CLSID\{8240XXXXXX-XXXX-XXXX-XXX}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache

病毒删除文件：

%SystemDriver%\test.bat