捕獲時間
2009-1-22
病毒摘要
該樣本是使用“C ”編寫的惡意廣告程序,由微點主動防御軟件自動捕獲,程序EP段代碼經過特殊隨機修改,試圖躲避殺毒軟件特征碼識別,長度為“48,640 字節”字節,使用“
”,圖標,運行后注入系統進程后臺刷廣告,造成用戶計算機網速堵塞等現象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知間諜軟件”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"AdWare.Win32.Virtumonde.rza”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3、開啟windows自動更新,及時打好漏洞補丁。
病毒分析
該樣本運行后釋放“awtqnkhe.dll”到%SystemRoot%\system32\目錄下,并將其讀入到自身進程空間,查找其導出序號為“#1”的函數調用。
“awtqnkhe.dll”函數“#1”被調用后創建事件“eb1ec9ee”,遍歷進程查找“Winlogon.exe”,找到后為自身進程添加“SeDebugPrivilege”特權,打開“Winlogon.exe”進程申請內存將“awtqnkhe.dll”路徑寫入,創建遠程線程實現注入,獲取當前用戶%temp%路徑,釋放批處理自刪除。
被注入的dll執行后創建兩個線程,線程一地址為“awtqnkhe.dll地址 5705”,線程二地址為“awtqnkhe.dll地址 55cc”。線程一負責遍歷進程查找微軟反間諜程序,找到后將其結束,創建自身BHO;線程二負責枚舉注冊表,檢測自身BHO及其以下啟動項:
|
|
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\awtqnkhe |
|
連接一下網址為其刷廣告
| |
http://85.**.43.75/go/?%scmp=%s&affid=%s&uid=%s&guid=%s&id=%s¶m=%s
http://85.**.43.75/go/?%scmp=%s&affid=&uid=&guid=&id=%s¶m=%s |
|
