木馬下載者
Trojan-Downloader.Win32.Small.agsy
捕獲時間
2012-02-26
危害等級
中
病毒癥狀
該樣本是使用“Microsoft Visual C 6.0”編寫的“木馬下載器”,由微點主動防御軟件自動捕獲,長度為“25,024”字節,圖標為“
”��,使用“exe”擴展名����,通過文件捆綁、網頁掛馬�����、下載器下載等方式進行傳播�,病毒主要目的是指引用戶計算機到黑客指定的URL地址去下載更多的病毒或木馬后門文件并運行。
用戶中毒后會出現電腦的運行速度變慢�,殺軟無故退出而不能啟動�����,出現大量未知進程等現象����。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶����,無須任何設置�����,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本���,微點主動防御都能夠有效清除該病毒����。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本����,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Small.agsy ”�,請直接選擇刪除(如圖2)�����。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
手動刪除以下文件:
%SystemRoot%\Qedie\conime.exe
%Temp%\18672577.gif(文件名隨機)
%SystemRoot%\Qedir\felaxega.exe(文件名隨機)
%SystemRoot%\Qedir\vbyjhivh.exe(文件名隨機)
%SystemRoot%\Qedir\rhrouxib.exe(文件名隨機)
%SystemRoot%\Qedir\yhelxael.exe(文件名隨機)
%SystemRoot%\Qedir\rhdfrqka.exe(文件名隨機)
%SystemRoot%\Qedir\savwruvh.exe(文件名隨機)
手動刪除注冊表項:
項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}\stubpath
變量聲明:
%SystemDriver% 系統所在分區��,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾���,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄��,通常為:“C:\ProgramFiles”
病毒分析:
1���、創建一個名為"與他sdadasdasxsaxsad2324343fdsfdsgrrhthtu76656"的事件���,以創建一個新的進程的方式打開樣本����。
2����、判斷樣本路徑是否為"C:\WINDOWS\Qedie\conime.exe",如果不是���,則創建"c:\Program Files\933.txt"文件,保存樣本的完整路徑名����。
3��、在系統目錄下創建“C:\WINDOWS\Qedie\”文件夾,將樣本復制為"C:\WINDOWS\Qedie\conime.exe"���。寫入一些空字符�,以改變文件的大小。
4����、"C:\WINDOWS\Qedie\conime.exe"運行后�����,解析出網址http://sms.***.com:81/fc/01.gif,創建名為"XLXNDXS"的互斥體���,防止文件二次運行。
5����、創建兩個線程���,第一個線程:打開"c:\Program Files\933.txt"��,讀取樣本路徑,然后將該文件和樣本刪除��。
6���、第二個線程:創建注冊表項" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}"�����,創建鍵名為stubpath鍵值為C:\WINDOWS\Qedie\conime.exe的鍵����,以達到開機自啟動的目的�����。
7、打開網絡連接:http://sms.***.com:81/fc/01.gif,獲取數據寫入"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\18672577.gif"����,從該文件中獲取字符串�,供解密下載木馬的鏈接之用。
8��、為存放下載的木馬創建一個新的文件夾"C:\WINDOWS\Qedir\"。
9�、遍歷窗口����,獲取窗口的標題���,分別對比“數據包”���、“輻絡軍刀”����、“抓包”���、“監聽”�、“酷抓”�����、“嗅探”�、“捕獲”、“幽狗”、“監視”����、“嗅覺”���、“niff”、“網絡探手”�、“WPE”����、“遠程桌面”��、“Version”��、“Expert”、“Pack”����、“Analyzer”�����、“WinNetCap”、“封包”�����、“Wireshark”���、“木馬輔”�、“任務管理器”�,若找到�,則等待2秒��,再重復查找�,直到用戶關閉相關窗口���。
10��、創建"C:\WINDOWS\Qedir\felaxega.exe"(文件名隨機)���,從http://121.10.***:88/cc/101.exe下載數據保存到該文件中�,以創建進程的方式運行���。
11��、重復13、14兩個步驟,分別從http://121.10.**:88/tt/16.exe下載"C:\WINDOWS\Qedir\vbyjhivh.exe"(文件名隨機),從http://121.10.***:88/tt/18.exe下載C:\WINDOWS\Qedir\rhrouxib.exe"(文件名隨機)����,從http://121.10.***:88/tt/26.exe下載"C:\WINDOWS\Qedir\yhelxael.exe"(文件名隨機)��, 從http://121.10.***:88/tt/29.exe下載"C:\WINDOWS\Qedir\rhdfrqka.exe"(文件名隨機)�, 從http://121.10.***:88/cc/01.exe下載"C:\WINDOWS\Qedir\savwruvh.exe"(文件名隨機)�����,分別以創建進程的方式運行。
12、將"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\18672577.gif"文件刪除�。
13�、獲取本機的mac地址�����,獲取用用戶標識符,創建進程快照獲取當前進程的數量,將信息發送到指定網址。
14���、創建一個新的線程����,循環刪除該樣本所下載的木馬文件。
15��、等待90分鐘后���,重復步驟11~18的動作��。
病毒創建文件:
%SystemRoot%\Qedie\conime.exe
%ProgramFiles%\933.txt
%Temp%\18672577.gif(文件名隨機)
%SystemRoot%\Qedir\felaxega.exe(文件名隨機)
%SystemRoot%\Qedir\vbyjhivh.exe(文件名隨機)
%SystemRoot%\Qedir\rhrouxib.exe(文件名隨機)
%SystemRoot%\Qedir\yhelxael.exe(文件名隨機)
%SystemRoot%\Qedir\rhdfrqka.exe(文件名隨機)
%SystemRoot%\Qedir\savwruvh.exe(文件名隨機)
病毒創建注冊表:
項:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B933-11d2-9CBD-0000F87A369E}\stubpath
病毒刪除文件:
%ProgramFiles%\933.txt
%Temp%\18672577.gif(文件名隨機)
樣本自身文件
病毒訪問網絡:
http://sms.***.com:81/fc/01.gif
http://121.10.***:88/cc/101.exe
http://121.10.***:88/tt/16.exe
http://121.10.***:88/tt/18.exe
http://121.10.***:88/tt/26.exe
http://121.10.***:88/tt/29.exe
http://121.10.***:88/cc/01.exe
