捕獲時(shí)間
2009-1-1
病毒摘要
該樣本是使用“VC”編寫的木馬程序����,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲�����,采用“Upack”加殼方式����,企圖躲過特征碼掃描��,長度為“39,252 字節(jié)”�,圖標(biāo)為“
”����,病毒擴(kuò)展名為“exe”,主要通過“網(wǎng)頁掛馬”、“文件捆綁”����、“誘騙用戶點(diǎn)擊”等方式傳播�,病毒主要目的通過多種手段賺取廣告流量�。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁、誘騙用戶點(diǎn)擊
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置����,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞�。無論您是否已經(jīng)升級(jí)到最新版本�����,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒��。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜軟件”����,請直接選擇刪除處理(如圖1)����;
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本���,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Trojan.Win32.Agent.abxz”�����,請直接選擇刪除(如圖2)�。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
對于未使用微點(diǎn)主動(dòng)防御軟件的用戶�,微點(diǎn)反病毒專家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)��。
2�����、盡快將您的殺毒軟件特征庫升級(jí)到最新版本進(jìn)行查殺�����,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持�。
3����、開啟windows自動(dòng)更新��,及時(shí)打好漏洞補(bǔ)丁��。
病毒分析
該樣本程序被執(zhí)行后,將遍歷進(jìn)程,查找是否存在“AVP.exe”�,若存在則釋放批處理文件“GoKaba.bat”至“%SystemRoot%\system32”文件夾���,修改系統(tǒng)時(shí)間至“1987年10月18日”��,批處理內(nèi)容如下:
| |
@echo off
set date=趖e%
date 1987-10-18
ping -n 45 localhost > nul
date 趖e%
del %0 |
|
樣本將利用批處理“ping -n 45 localhost > nul” 達(dá)到延時(shí)目的,延時(shí)完成后系統(tǒng)時(shí)間將被調(diào)回正常。期間將復(fù)制自身至“%SystemRoot%\system32”文件夾��,重命名為“A135DED4.EXE”����,復(fù)制自身至“%SystemRoot%\system32”文件夾�,重命名為“A135DED4T.EXE”,修改注冊表��,將“A135DED4.EXE”設(shè)置為服務(wù)��,相關(guān)注冊表項(xiàng)如下:
| |
鍵:“[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\A135DED4]”
值:“Type”
數(shù)據(jù):“SERVICE_WIN32_OWN_PROCESS”
值:“Start”
數(shù)據(jù):“SERVICE_AUTO_START”
值:“ImagePath”
數(shù)據(jù):“C:\WINDOWS\system32\A135DED4.EXE –service”
值:“DisplayName”
數(shù)據(jù):“A135DED4” |
|
完成后樣本將以參數(shù)“–service”啟動(dòng)“A135DED4.EXE”����,刪除“GoKaba.bat”���,并生成批處理“delme.bet”實(shí)現(xiàn)自刪除���,相關(guān)批處理如下:
| |
@echo off
:selfkill
del /F /Q "C:\Sample.EXE"
exist "C:\Sample.EXE" goto selfkill
del %0 |
|
“A135DED4.EXE”啟動(dòng)后將生成動(dòng)態(tài)庫文件“A135DED4.DLL”至文件夾“%SystemRoot%\system32”�����,申請空間將動(dòng)態(tài)庫文件“A135DED4.DLL”注入至“winlogon.exe”并啟動(dòng)一線程���。
“winlogon.exe” 將申請空間將動(dòng)態(tài)庫文件“A135DED4.DLL”注入至“explorer.exe”并啟動(dòng)一線程�。訪問網(wǎng)址:“http://www.zh****u8.com/chajian/update.txt”下載升級(jí)程序����。
病毒將鎖定IE主頁,彈出各類廣告窗口���,劫持百度搜索引擎,實(shí)用戶點(diǎn)擊搜索結(jié)果時(shí)跳轉(zhuǎn)至黑客指定的廣告頁面�����,并以隱藏方式安裝“Alexa工具條”�����,遍歷QQ、淘寶旺旺�、MSN等聊天軟件窗口�,利用模擬點(diǎn)擊方式發(fā)送廣告信息�����,使用戶主機(jī)不斷出現(xiàn)廣告�����,運(yùn)行緩慢�����。
