木馬下載者
Trojan-Downloader.Win32.Agent.cbma
捕獲時間
2012-07-07
危害等級
中
病毒癥狀
該樣本是使用“C\C ”編寫的“木馬下載器”����,由微點主動防御軟件自動捕獲,長度為“12,800”字節,圖標為“
”,使用“exe”擴展名��,通過文件捆綁、網頁掛馬、下載器下載等方式進行傳播�����。
病毒主要目的是指引用戶計算機到黑客指定的URL地址去下載更多的病毒或木馬后門文件并運行���。
用戶中毒后會出現電腦的運行速度變慢��,殺軟無故退出而不能啟動,出現大量未知進程等現象��。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁�、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶��,無須任何設置��,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�����。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版����,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本����,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Agent.cbma”�����,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.強制結束"s.exe"�、"sqrl.exe"�����、"heckHost.exe"等病毒進程
2.手動刪除以下文件:
"%Temp%\vip.exe"
"%Temp%\z1.exe"
"%Temp%\2010.exe"
"%Temp%\DS_Server.exe"
以及衍生文件"%SystemRoot%\system"目錄中"110.bat"���、"q.bat"���、"1.vbs"��、"2.vbs"��、"s.exe"、"sqrl.exe"��、"Xscan.exe"���、"Xscanlib.dll"�����、 "report.dll"�、"packet.dll"�����、"heckHost.exe"�����、"cor.exe"���、"NaslLib.dll"��、"npf.sys"以及"%SystemDriver%\Documents and Settings\All Users\Application Data\DownloadSave\dytyufn.exe"等。
變量聲明:
%SystemDriver% 系統所在分區�����,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾���,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.獲取系統緩存目錄���,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.chen",將病毒數據寫入此文件����。加載該文件到病毒進程地址空間(該文件加載之后則以命令"cmd /c 病毒主程序目錄"重新啟動病毒主程序)�����。執行之后將文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.chen"從內存卸載并刪除,主程序退出。
2.病毒主程序重新啟動之后����,解密網址字符串���,獲取系統緩存目錄��,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.juan",將病毒數據寫入此文件,加載該文件并調用其入口函數,從"http://cmd.js***.com:3636/txt/tuziz1.txt"下載文件保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\detmp.tmp"。釋放并刪除"chen.juan"。
3.讀取"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\detmp.tmp"中的網址數據�,獲取系統緩存目錄�,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.juan"��,將病毒數據寫入此文件����,加載該文件并調用其入口函數��,從"http://119.1**.11*.37:9090/sao/vip.exe"下載文件保存為"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vip.exe"。釋放并刪除"chen.juan"�。
4.獲取系統緩存目錄�,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\NOPABCDEFGHIJKL.chen"�,將病毒數據寫入此文件,加載該文件到病毒進程地址空間(加載之后執行文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vip.exe" )。之后將"NOPABCDEFGHIJKL.chen"卸載并刪除���。
5.以同樣的方式從"http://119.1**.11*.37:9090/tuzi/z1.exe"下載文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\z1.exe"并執行。
6.以同樣的方式從"http://119.1**.11*.37:9090/tuzi/2010.exe"下載文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2010.exe"并執行����。
7.以同樣的方式從"http://119.1**.11*.37:9090/tuzi/DS_Server.exe"下載文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ DS_Server.exe"并執行���。
8.刪除文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\detmp.tmp"���。
9.獲取系統緩存目錄���,創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.txt"�����。創建文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\chen.juan"寫入病毒數據并加載執行,從"http://www.symental.com/ip"下載數據寫入到"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmped.txt"�,釋放并刪除"chen.juan"����。
10.獲取本地時間����、進程等信息,拼接并打開網址"http://cmd.js***.com:888/tj.asp?mac=&time=2012-5-25--14:47-10&nCnt=
1&nProcName =[System rocess]&RunTimes=1&UserID=z1"����,以此發送信息到遠程主機����。
11.其他病毒文件運行之后會創建"C:\WINDOWS\system"目錄中"110.bat"��、"q.bat"���、"1.vbs"�、"2.vbs"���、"s.exe"����、"sqrl.exe"、"Xscan.exe"���、"Xscanlib.dll"、 "report.dll"���、"packet.dll"、"heckHost.exe"����、"cor.exe"�����、"NaslLib.dll"、"npf.sys"以及"C:\Documents and Settings\All Users\Application Data\DownloadSave\dytyufn.exe"等大量病毒文件以及相應的執行進程����。
病毒創建文件:
"%Temp%\chen.juan"
"%Temp%\NOPABCDEFGHIJKL.chen"
"%Temp%\detmp.tmp"
"%Temp%\vip.exe"
"%Temp%\z1.exe"
"%Temp%\2010.exe"
"%Temp%\DS_Server.exe"
"%Temp%\chen.txt"
衍生文件
"%SystemRoot%\system"目錄中"110.bat"���、"q.bat"、"1.vbs"����、"2.vbs"�����、"s.exe"、"sqrl.exe"���、"Xscan.exe"、"Xscanlib.dll"�����、 "report.dll"����、"packet.dll"、"heckHost.exe"、"cor.exe"、"NaslLib.dll"、"npf.sys"以及"C:\Documents and Settings\All Users\Application Data\DownloadSave\dytyufn.exe"等大量病毒文件����。
病毒刪除文件:
"%Temp%\chen.juan"
"%Temp%\detmp.tmp"
"%Temp%\NOPABCDEFGHIJKL.chen"
病毒訪問網絡:
"http://cmd.js***.com:3636/txt/tuziz1.txt"
"http://119.1**.11*.37:9090/sao/vip.exe"
"http://119.1**.11*.37:9090/tuzi/z1.exe"
"http://119.1**.11*.37:9090/tuzi/2010.exe"
"http://119.1**.11*.37:9090/tuzi/DS_Server.exe"
"http://www.sy***tal.com/ip"
