捕獲時間
2008-11-03
病毒摘要
該樣本是使用“ Delphi”編寫的木馬,由微點主動防御軟件自動捕獲����,采用“Upack”加殼方式試圖躲避特征碼掃描,加殼后長度為“129,665 字節”�,圖標為
���,使用“exe”擴展名�����,通過“網頁木馬”、“文件捆綁”等途徑植入用戶計算機�,運行后下載灰鴿子等木馬程序到本地運行�����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶����,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞��。無論您是否已經升級到最新版本��,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”����,請直接選擇刪除處理(如圖1)��;
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Dropper.Win32.Agent.wxo”�����,請直接選擇刪除(如圖2)��。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1����、不要在不明站點下載非官方版本的軟件進行安裝��,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺��,并開啟防火墻攔截網絡異常訪問����,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新���,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,在%SystemRoot%\system32\目錄下建立文件夾inf,并拷貝%SystemRoot%\system32\目錄下的“rundll32.exe”到inf目錄下重命名為“svchoct.exe”��,并拷貝自身為“sppdcrs080921.scr”����、釋放“scsys16_080921.dll”;在%Windir%目錄下,釋放病毒文件“dcbdcatys32_081023a.dll”���、“wftadfi16_081023a.dll”,并創建配置文件“tawisys.ini”存放所有衍生的病毒路徑與版本信息;拷貝自身到%SystemRoot%\system\目錄下���,名稱為“sgcxcxxaspf081023.exe”,添加注冊表啟動項目使用“rundll32.exe”加載病毒“wftadfi16_081023a.dll”文件:
| |
項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
健值:mainyust
指向數據:C:\\WINDOWS\\system32\\inf\\svchoct.exe C:\\WINDOWS\\
wftadfi16_081023a.dll tan16d |
|
“wftadfi16_081023a.dll”文件注入到進程“svchoct.exe”中,定時檢測創建“tawisys.ini”配置文件的木馬衍生物����,并執行調用其中的相關木馬文件�����,相關木馬調用后,檢測是否存在“IEXPLORE.EXE”進程, 一旦不存在便隱藏運行,然后將其打開���,申請內存空間注入“dcbdcatys32_081023a.dll”文件代碼�,執行遠程線程將代碼作為“IEXPLORE.EXE”進程的一個線程運行,該線程運行后等待聯接到下面木馬服務器下載指定的木馬并運行:
| |
http ://221.***.2.202/list.htm?frandom=1**1
http ://221.***.2.221/bawang/myself.exe?frandom=7**9 |
|
程序還查找以下鍵值判斷系統是否存在IE保護工具����,并將自身寫入白名單
| |
Software\Baidu\BaiduBar\WhiteList
Software\Microsoft\Internet Explorer\New Windows\Allow
Software\Microsoft\Protected Storage System Provider
\Software\Microsoft\Internet Explorer\New Windows\Allow
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\
\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\
Software\Google\NavClient\1.1\whitelist |
|
查找江民和卡巴斯基病毒警告窗口���,發現則發送消息WM_CLOSE關閉窗口或自動點擊窗口中的"是"按鈕來逃避殺毒軟件查殺安全警告窗口�,嘗試將自身注冊至Browser Helper Objects:
| |
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelper Objects\
{F1FABE79-25FC-46de-8C5A-2C6DB9D64333} |
|
嘗試在進程中查找并使用ntsd –c q –p此參數命令關閉以下進程:
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
360tray.exe
RSTray.exe
并調用批處理“mylas3tecj.bat”��,達到自我刪除的效果�����。
