木馬下載者
Trojan-Downloader.Win32.Geral.djt
捕獲時間
2012-12-01
危害等級
中
病毒癥狀
該樣本是使用“C/C ”編寫的“木馬下載者”,由微點主動防御軟件自動捕獲,采用“UPX”加殼,企圖避過殺軟掃描,加殼后長度為“35,328”字節(jié),圖標(biāo)為“
”,使用“exe”擴展名,通過移動存儲、網(wǎng)頁掛馬、下載器下載等方式進行傳播,病毒主要目的是惡意修改用戶系統(tǒng)并下載更多的病毒或木馬后門文件運行。
用戶中毒后會出現(xiàn)電腦的運行速度變慢,殺軟無故退出而不能啟動,出現(xiàn)大量未知進程等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁掛馬、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1)
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)木馬"Trojan-Downloader.Win32.Geral.djt”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1.手動停止并刪除服務(wù)"auyi"
2.手動刪除文件
"%ProgramFiles%\Common Files\rkdltecq\qioihz.pif"
"%SystemRoot%\system32\1.DEP(文件名隨機)"
"%SystemRoot%\system\NeRz"
"%SystemRoot%\temp\oqw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"
3.修改注冊表
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認(rèn))"
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.創(chuàng)建名字為"ZONGYAODOANG"的互斥對象,防止重復(fù)執(zhí)行。
2.創(chuàng)建目錄"C:\Program Files\Common Files\rkdltecq",并將自身拷貝重命名為"C:\Program Files\Common Files\rkdltecq\qioihz.pif"。
3.獲取系統(tǒng)目錄,創(chuàng)建文件"C:\WINDOWS\system32\1.DEP(文件名隨機)",寫入病毒數(shù)據(jù),并加載該文件到當(dāng)前進程地址空間調(diào)用其導(dǎo)出函數(shù)"Whaier"、"Simenze"。
4.文件"C:\WINDOWS\system32\1.DEP(文件名隨機)"加載執(zhí)行之后:
(1)設(shè)置鍵值項"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"、"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認(rèn))" = "C:\WINDOWS\system32\1.DEP"。
(2)執(zhí)行命令"cmd /c sc stop policyagent",停止IPSEC安全策略服務(wù)。
(3)判斷當(dāng)前進程是否為"360realpro.exe"、"360quart.exe"、"qqpcmgr.exe",如果是則創(chuàng)建文件"C:\WINDOWS\system\NeRz",創(chuàng)建名字為"auyi"的服務(wù),執(zhí)行映像指向"C:\WINDOWS\system\NeRz",并啟動此服務(wù),刪除文件"C:\WINDOWS\system\NeRz"。
(4)與設(shè)備對象"\\.\KONGQIX"通信,試圖結(jié)束以下進程:
"ekrn.EXE"、"360rp.EXE"、"360tray.EXE"、"egui.EXE"、"nod32krn.EXE"、"nod32kui.EXE"、 "safeboxtray.EXE"、"360safebox.EXE"、"krnl360svc.EXE"、"ZhuDongFangYu.EXE"、 "360setupscan.EXE"、"RSTray.EXE"、"360sd.EXE"、"360rps.EXE"、"360sdrun.EXE"、 "360speedld.EXE"、"360leakfixer.EXE"、"DumpUper.EXE"、"avgnt.EXE"、"avnotify.EXE"、 "avguard.EXE"、"guardgui.EXE"、"avwebgrd.EXE"、"sched.EXE"、"avfwsvc.EXE"、 "BacsTray.EXE"、"kasmain.EXE"、"kaccore.EXE"、"kastray.EXE"、"kudiskmon.EXE"、 "beikearpmain.EXE"、"beikearpsvc.EXE"、"beikescan.EXE"、"RsMgrSvc.EXE"、 "kav.EXE"、"360safe.exe"、"mcshield.EXE"、"RavMonD.EXE"、"kavstart.EXE"、 "kwatch.EXE"、"kswebshield.exe"、"kxedefend.EXE"、"kxesapp.EXE"、"kxeserv.EXE"、 "kxetray.EXE"、"krepair.EXE"、"kpopserver.exe"、"KVMonXP.EXE"、"KVSrvXP.EXE"、 "KSafe.EXE"、"KSafeTray.EXE"、"KSafeSvc.EXE"、"KANSvr.EXE"、"KANSGUI.EXE"、 "QQDoctorRtp.exe"、"QQPCRTP.EXE"、"QQPCTray.EXE"、"TSVulFWMan.EXE"、 "QQPCMgr.EXE"、"QQPCLeakScan.EXE"、"Twister.EXE"、"avp.EXE",之后停止并刪除該服務(wù)。
(5)如果當(dāng)前進程為"explorer.exe",則獲取系統(tǒng)目錄,下載文件"http://da.sh**aihuabian.com:53/s.gif"保存為"C:\WINDOWS\temp\oqw.ini",讀取文件"C:\WINDOWS\temp\oqw.ini"中的病毒網(wǎng)址信息,依次下載為"C:\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"并執(zhí)行。
(6)遍歷所有可移動磁盤,并將其根目錄文件夾屬性設(shè)置為系統(tǒng)和隱藏,之后將"C:\Program Files\Common Files\rkdltecq\qioihz.pif"拷貝重命名為"移動磁盤盤符:\文件夾名.exe"。
病毒創(chuàng)建文件:
"%ProgramFiles%\Common Files\rkdltecq\qioihz.pif"
"%SystemRoot%\system32\1.DEP(文件名隨機)"
"%SystemRoot%\system\NeRz"
"%SystemRoot%\temp\oqw.ini"
多個"%SystemDriver%\Documents and Settings\All Users\Documents\eoi3.tmp(文件名隨機)"
"移動磁盤根目錄偽裝為文件夾的exe文件"
病毒修改注冊表:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\WebCheck"
"HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32\(默認(rèn))"
病毒訪問網(wǎng)絡(luò):
"http://da.sh**aihuabian.com:53/s.gif"
