木馬下載者
Trojan-Downloader.Win32.Geral.djt
捕獲時間
2012-12-01
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的“木馬下載者”,由微點主動防御軟件自動捕獲,采用“UPX”加殼,企圖避過殺軟掃描,加殼后長度為“35,328”字節,圖標為“
”,使用“exe”擴展名,通過移動存儲、網頁掛馬、下載器下載等方式進行傳播,病毒主要目的是惡意修改用戶系統并下載更多的病毒或木馬后門文件運行。
用戶中毒后會出現電腦的運行速度變慢,殺軟無故退出而不能啟動,出現大量未知進程等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現木馬"Trojan-Downloader.Win32.Geral.djt”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動停止并刪除服務"auyi"
2.手動刪除文件
"%ProgramFiles%\Common Files\rkdltecq\qioihz.pif"
"%SystemRoot%\system32\1.DEP(文件名隨機)"
"%SystemRoot%\system\NeRz"
"%SystemRoot%\temp\oqw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"
3.修改注冊表
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認)"
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.創建名字為"ZONGYAODOANG"的互斥對象,防止重復執行。
2.創建目錄"C:\Program Files\Common Files\rkdltecq",并將自身拷貝重命名為"C:\Program Files\Common Files\rkdltecq\qioihz.pif"。
3.獲取系統目錄,創建文件"C:\WINDOWS\system32\1.DEP(文件名隨機)",寫入病毒數據,并加載該文件到當前進程地址空間調用其導出函數"Whaier"、"Simenze"。
4.文件"C:\WINDOWS\system32\1.DEP(文件名隨機)"加載執行之后:
(1)設置鍵值項"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"、"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認)" = "C:\WINDOWS\system32\1.DEP"。
(2)執行命令"cmd /c sc stop policyagent",停止IPSEC安全策略服務。
(3)判斷當前進程是否為"360realpro.exe"、"360quart.exe"、"qqpcmgr.exe",如果是則創建文件"C:\WINDOWS\system\NeRz",創建名字為"auyi"的服務,執行映像指向"C:\WINDOWS\system\NeRz",并啟動此服務,刪除文件"C:\WINDOWS\system\NeRz"。
(4)與設備對象"\\.\KONGQIX"通信,試圖結束以下進程:
"ekrn.EXE"、"360rp.EXE"、"360tray.EXE"、"egui.EXE"、"nod32krn.EXE"、"nod32kui.EXE"、 "safeboxtray.EXE"、"360safebox.EXE"、"krnl360svc.EXE"、"ZhuDongFangYu.EXE"、 "360setupscan.EXE"、"RSTray.EXE"、"360sd.EXE"、"360rps.EXE"、"360sdrun.EXE"、 "360speedld.EXE"、"360leakfixer.EXE"、"DumpUper.EXE"、"avgnt.EXE"、"avnotify.EXE"、 "avguard.EXE"、"guardgui.EXE"、"avwebgrd.EXE"、"sched.EXE"、"avfwsvc.EXE"、 "BacsTray.EXE"、"kasmain.EXE"、"kaccore.EXE"、"kastray.EXE"、"kudiskmon.EXE"、 "beikearpmain.EXE"、"beikearpsvc.EXE"、"beikescan.EXE"、"RsMgrSvc.EXE"、 "kav.EXE"、"360safe.exe"、"mcshield.EXE"、"RavMonD.EXE"、"kavstart.EXE"、 "kwatch.EXE"、"kswebshield.exe"、"kxedefend.EXE"、"kxesapp.EXE"、"kxeserv.EXE"、 "kxetray.EXE"、"krepair.EXE"、"kpopserver.exe"、"KVMonXP.EXE"、"KVSrvXP.EXE"、 "KSafe.EXE"、"KSafeTray.EXE"、"KSafeSvc.EXE"、"KANSvr.EXE"、"KANSGUI.EXE"、 "QQDoctorRtp.exe"、"QQPCRTP.EXE"、"QQPCTray.EXE"、"TSVulFWMan.EXE"、 "QQPCMgr.EXE"、"QQPCLeakScan.EXE"、"Twister.EXE"、"avp.EXE",之后停止并刪除該服務。
(5)如果當前進程為"explorer.exe",則獲取系統目錄,下載文件"http://da.sh**aihuabian.com:53/s.gif"保存為"C:\WINDOWS\temp\oqw.ini",讀取文件"C:\WINDOWS\temp\oqw.ini"中的病毒網址信息,依次下載為"C:\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"并執行。
(6)遍歷所有可移動磁盤,并將其根目錄文件夾屬性設置為系統和隱藏,之后將"C:\Program Files\Common Files\rkdltecq\qioihz.pif"拷貝重命名為"移動磁盤盤符:\文件夾名.exe"。
病毒創建文件:
"%ProgramFiles%\Common Files\rkdltecq\qioihz.pif"
"%SystemRoot%\system32\1.DEP(文件名隨機)"
"%SystemRoot%\system\NeRz"
"%SystemRoot%\temp\oqw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"
病毒修改注冊表:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認)"
病毒訪問網絡:
"http://da.sh**aihuabian.com:53/s.gif"
