木馬下載器Trojan-Downloader.Win32.Agent.ajeq
Trojan-Downloader.Win32.Agent.ajeq
捕獲時間
2008-11-4
病毒摘要
該樣本是使用“Delphi”編寫的“木馬下載器”,由微點主動防御軟件自動捕獲,采用“WinUpack”加殼方式試圖躲避特征碼掃描,加殼后長度為“68,508 字節”,圖標為
,使用“exe”擴展名,通過“網頁木馬”、“文件捆綁”等途徑植入用戶計算機,運行后下載多個“木馬”程序到本地運行。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.Agent.ajeq”,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,拷貝自身到目錄%Windir%\system\下,名稱為
“lljyn081022.exe”,并釋放名為 “llbjyn32bb.dll”的動態鏈接庫文件,修改以下注冊表鍵值達到開機運行與隱藏下載效果:
| |
項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
健值:lljyn_df
指向數據:%Windir%\system\lljyn080930.exe
項:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
健值:Check_Associations
指向:no
項:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
健值:EnableAutodial
指向數據0 |
|
隨后遍歷查找“IEXPLORE.EXE”進程窗口類,一旦不存在便隱藏運行,然后將其打開,申請內存空間注入一段代碼,執行遠程線程將代碼作為“IEXPLORE.EXE”進程的一個線程運行,該線程運行后等待聯接到下面木馬服務器下載指定的木馬并運行:
| |
| http ://idc.8kaka.com/mydown.asp?ver=081022&tgid=8&address*** |
|
程序還在%AllUsersProfile%\下生成木馬的相關配置文件:“lljyndf16.ini”與“lljyndf32.ini”,并調用運行%SystemDrive%\下的批處理“dfDelmlljy.bat”達到自我刪除的效果,其內容如下:
| |
:try
del "C:\sample.exe"
ping 127.0.0.1 >nul
if exist "C:\sample.exe" goto try
del %0 |
|
