捕獲時(shí)間
2008-11-8
病毒摘要
該樣本是使用“C ”編寫(xiě)的下載器��,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“ASPack”加殼方式試圖躲避特征碼掃描,加殼后長(zhǎng)度為26,161 字節(jié)�,圖標(biāo)為
���,病毒擴(kuò)展名為“exe”����,通過(guò)“網(wǎng)頁(yè)木馬”�����、“文件捆綁”等途徑植入用戶計(jì)算機(jī),病毒主要從網(wǎng)絡(luò)下載木馬至本地運(yùn)行。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁(yè)木馬、文件捆綁
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶�����,無(wú)須任何設(shè)置��,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞�����。無(wú)論您是否已經(jīng)升級(jí)到最新版本����,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒����。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版��,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜軟件”�,請(qǐng)直接選擇刪除處理(如圖1)�;
圖1 主動(dòng)防御自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本�����,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Trojan-Downloader.Win32.Flux.uf”,請(qǐng)直接選擇刪除(如圖2)��。
圖2 升級(jí)后截獲已知病毒
對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶�,微點(diǎn)反病毒專家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝�����,避免病毒通過(guò)捆綁的方式進(jìn)入您的系統(tǒng)��。
2���、盡快將您的殺毒軟件特征庫(kù)升級(jí)到最新版本進(jìn)行查殺�����,并開(kāi)啟防火墻攔截網(wǎng)絡(luò)異常訪問(wèn),如依然有異常情況請(qǐng)注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持��。
3����、開(kāi)啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁��。
病毒分析
該樣本程序被執(zhí)行后����,將在“%systemroot%\font”目錄下生成“copy2090000.bat”批處理文件并執(zhí)行,使其自身拷貝至“%systemroot%\font”目錄下����,并重命名為“E0F44638.EXE”,隨后通過(guò)SCM,將自身創(chuàng)建為名為“D1E9F6C8”的服務(wù),實(shí)現(xiàn)自啟動(dòng)���,相關(guān)注冊(cè)表項(xiàng)如下:
| |
項(xiàng):HKLM\SYSTEM\CurrentControlSet\Services\D1E9F6C8\
鍵值1:DisplayName
指向數(shù)據(jù):“D1E9F6C8”
鍵值2:ImagePath
指向數(shù)據(jù):“C:\WINDOWS\Fonts\E0F44638.EXE –k”
鍵值3:Start
指向數(shù)據(jù):SERVICE_AUTO_START
鍵值4:Description
指向數(shù)據(jù):“D1E9F6C8” |
|
完成以上操作后,在“%systemroot%\font”目錄下釋放批處理文件“Del.bat”并運(yùn)行,實(shí)現(xiàn)自刪除。
服務(wù)啟動(dòng)后“E0F44638.EXE”釋放動(dòng)態(tài)庫(kù)文件“471fabc8.dll”,動(dòng)態(tài)庫(kù)文件將查找“Winlogon”�����、“ Explorer.exe”等進(jìn)程���,申請(qǐng)空間將文件“471fabc8.dll”寫(xiě)入��,啟動(dòng)數(shù)個(gè)線程將其運(yùn)行���;
病毒動(dòng)態(tài)庫(kù)文件企圖通過(guò)注入其他進(jìn)程��,跨越用戶防火墻訪問(wèn)網(wǎng)絡(luò),讀取文件:“http://nx.y***9.cn/soft/update.txt”,“ update.txt”包含了病毒自身的升級(jí)文件下載地址:“http ://nx.y***9.cn/soft/soft/**************.exe”���,以及十余個(gè)木馬的下載地址:
http ://ad3.q***0.cn/mh.exe
http ://ad3.q***0.cn/wd.exe
http ://ad3.q***0.cn/zt.exe
http ://ad3.q***0.cn/my.exe
http ://ad3.q***0.cn/dxc.exe
http ://ad3.q***0.cn/wm.exe
http ://ad.q***0.cn/jx.exe
http ://ad3.q***0.cn/tl.exe
http ://ad3.q***0.cn/qqhx.exe
http ://ad.q***0.cn/zx.exe
http ://ad3.q***0.cn/wow.exe
http ://ad3.q***0.cn/xx.exe
http ://ad3.q***0.cn/kdxy.exe
http ://ad3.q***0.cn/cqwz.exe
http ://ad3.q***0.cn/cs.exe
http ://ad3.q***0.cn/jh.exe
http ://ad3.q***0.cn/wl.exe
http ://ad3.q***0.cn/mxd.exe
http ://ad3.q***0.cn/dj.exe
http ://ad3.q***0.cn/cb.exe
http ://ad3.q***0.cn/cq.exe
成功讀取后,病毒將下載上述文件并在用戶電腦中運(yùn)行,可能造成用戶資料丟失�,隱私外泄等后果���,對(duì)用戶利益造成極大的損害�。
病毒還將訪問(wèn)http ://nx.y***9.cn/soft/count/count.asp協(xié)助種植者進(jìn)行相關(guān)數(shù)據(jù)統(tǒng)計(jì)�����。
