捕獲時間
2008-12-25
病毒摘要
該樣本是使用“VC”編寫的木馬下載器,由微點主動防御軟件自動捕獲,采用加殼方式并經過特殊處理試圖躲避特征碼掃描,加殼后長度為“37,740字節”,圖標為“”,使用“exe”擴展名,通過“網頁木馬”、“文件捆綁”途徑植入用戶計算機,運行后下載大量盜號木馬到本地運行。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Downloader.Win32.EDog.bk”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本程序被執行后,遍歷查找下列安全軟件進程,一旦找到后嘗試將其結束,達到自身保護目的:
|
avp.exe
ravmon.exe
kavstart.exe |
|
調用帶“DELAY_UNTIL_REBOOT”標志參數的系統API函數“MoveFileEx”來實現下次系統啟動后病毒的自刪除,釋放名為“DogKiller.sys”的文件到%Temp%目錄下,并創建下列的“DogKiller”服務:
|
項:
HKLM\SYSTEM\CurrentControlSet\Services\DogKiller
鍵值:DisplayName
指向數據:DogKiller
健值:ImagePath
指向數據:%Temp%\ DogKiller.sys |
|
服務創建成功后調用此服務,嘗試對磁盤進行讀寫操作實現對“userinit.exe”文件的修改,等待下次重啟后利用“userinit.exe”文件進行下載大量木馬,再“DogKiller”運行結束關閉后刪除“DogKiller.sys”文件,并調用API函數“SHDeleteKeyA”刪除注冊表中“DogKiller”服務相關項實現對該服務的清除,等待聯網狀態,訪問下列指定的網址進行病毒自身統計:
|
http://liebiao.****just.cn/liebiao/1/clcount/count.asp?mac=00c0****da87&ver=2008102001 |
|
訪問下列指定網址的木馬列表,進行下載木馬并在下載后進行調用運行:
|
http://liebiao.****just.cn/liebiao/1/down.txt |
|
網址內容為:
|
[file]
isfile=1
url1=http://av114.ring360.mo.cn/******111/1.exe
biaoji1=Testp1.exe
yanshi1=0.6
url2=http://av114.ring360.mo.cn/******111/2.exe
biaoji2=Testp2.exe
yanshi2=0.2
url3=http://av114.ring360.mo.cn/******111/3.exe
biaoji3=Testp3.exe
yanshi3=0.2
url4=http://av114.ring360.mo.cn/******111/4.exe
biaoji4=Testp4.exe
yanshi4=0.2
url5=http://av114.ring360.mo.cn/******111/5.exe
biaoji5=Testp5.exe
yanshi5=0.2
url6=http://av114.ring360.mo.cn/******111/6.exe
biaoji6=Testp6.exe
yanshi6=0.2
url7=http://av114.ring360.mo.cn/******111/7.exe
biaoji7=Testp7.exe
yanshi7=0.2
url8=http://av114.ring360.mo.cn/******111/8.exe
biaoji8=Testp8.exe
yanshi8=0.2
url9=http://av114.ring360.mo.cn/******111/9.exe
biaoji9=Testp9.exe
yanshi9=0.2
url10=http://av114.ring360.mo.cn/******111/10.exe
biaoji10=Testp10.exe
yanshi10=0.2
url11=http://av114.ring360.mo.cn/******111/11.exe
biaoji11=Testp11.exe
yanshi11=0.2
url12=http://av114.ring360.mo.cn/******111/12.exe
biaoji12=Testp12.exe
yanshi12=0.2
url13=http://av114.ring360.mo.cn/******111/13.exe
biaoji13=Testp13.exe
yanshi13=0.2
url14=http://av114.ring360.mo.cn/******111/14.exe
biaoji14=Testp14.exe
yanshi14=0.2
url15=http://av114.ring360.mo.cn/******111/15.exe
biaoji15=Testp15.exe
yanshi15=0.2
url16=http://av114.ring360.mo.cn/******111/16.exe
biaoji16=Testp16.exe
yanshi16=0.2
url17=http://av114.ring360.mo.cn/******111/17.exe
biaoji17=Testp17.exe
yanshi17=0.2
url18=http://av114.ring360.mo.cn/******111/18.exe
biaoji18=Testp18.exe
yanshi18=0.2
url19=http://av114.ring360.mo.cn/******111/19.exe
biaoji19=Testp19.exe
yanshi19=0.2
url20=http://av114.ring360.mo.cn/******111/20.exe
biaoji20=Testp20.exe
yanshi20=0.2
url21=http://av114.ring360.mo.cn/******111/21.exe
biaoji21=Testp21.exe
yanshi21=0.2
url22=http://av114.ring360.mo.cn/******111/22.exe
biaoji22=Testp22.exe
yanshi22=0.2
url23=http://av114.ring360.mo.cn/******111/23.exe
biaoji23=Testp23.exe
yanshi23=0.2
url24=http://av114.ring360.mo.cn/******111/24.exe
biaoji24=Testp24.exe
yanshi24=0.2
url25=http://av114.ring360.mo.cn/******111/25.exe
biaoji25=Testp25.exe
yanshi25=0.2
url26=http://av114.ring360.mo.cn/******111/26.exe
biaoji26=Testp26.exe
yanshi26=0.2
url27=http://av114.ring360.mo.cn/******111/27.exe
biaoji27=Testp27.exe
yanshi27=0.2
url28=http://av114.ring360.mo.cn/******111/28.exe
biaoji28=Testp28.exe
yanshi28=0.2
url29=http://av114.ring360.mo.cn/******111/29.exe
biaoji29=Testp29.exe
yanshi29=0.2
url30=http://av114.ring360.mo.cn/******111/30.exe
biaoji30=Testp30.exe
yanshi30=0.2
url31=http://av114.ring360.mo.cn/******111/31.exe
biaoji31=Testp31.exe
yanshi31=0.2
url32=http://av114.ring360.mo.cn/******111/32.exe
biaoji32=Testp32.exe
yanshi32=0.2
url33=http://av114.ring360.mo.cn/******111/33.exe
biaoji33=Testp33.exe
yanshi33=0.2
url34=http://av114.ring360.mo.cn/******111/34.exe
biaoji34=Testp34.exe
yanshi34=0.2
url35=http://av**.ring360.mo.cn/35.exe
biaoji35=Testp35.exe
yanshi35=0.2
url36=http://av**.ring360.mo.cn/36.exe
biaoji36=Testp36.exe
yanshi36=0.2
url37=http://av**.ring360.mo.cn/37.exe
biaoji37=Testp37.exe
yanshi37=0.2
url38=http://av**.ring360.mo.cn/38.exe
biaoji38=Testp38.exe
yanshi38=0.2
url39=http://av**.ring360.mo.cn/39.exe
biaoji39=Testp39.exe
yanshi39=0.2
url40=http://av**.ring360.mo.cn/40.exe
biaoji40=Testp40.exe
yanshi40=0.2
url41=http://av**.ring360.mo.cn/41.exe
biaoji41=Testp41.exe
yanshi41=0.2
url42=http://av**.ring360.mo.cn/42.exe
biaoji42=Testp42.exe
yanshi42=0.2
url43=http://av**.ring360.mo.cn/43.exe
biaoji43=Testp43.exe
yanshi43=0.2
url44=http://av**.ring360.mo.cn/44.exe
biaoji44=Testp44.exe
yanshi44=0.2
url45=http://av**.ring360.mo.cn/45.exe
biaoji45=Testp45.exe
yanshi45=0.2
url46=http://av**.ring360.mo.cn/46.exe
biaoji46=Testp46.exe
yanshi46=0.2
url47=http://av**.ring360.mo.cn/47.exe
biaoji47=Testp47.exe
yanshi47=0.2
url48=http://av**.ring360.mo.cn/48.exe
biaoji48=Testp48.exe
yanshi48=0.2
url49=http://av**.ring360.mo.cn/49.exe
biaoji49=Testp49.exe
yanshi49=0.2
url50=http://av**.ring360.mo.cn/50.exe
biaoji50=Testp50.exe
yanshi50=0.2
url51=http://av**.ring360.mo.cn/51.exe
biaoji51=Testp51.exe
yanshi51=0.2
url52=http://av**.ring360.mo.cn/52.exe
biaoji52=Testp52.exe
yanshi52=0.2
count=52 |
|