捕獲時(shí)間
2009-1-24
病毒摘要
該樣本是使用“VC ”編寫的盜號(hào)木馬,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“RLPack”加殼方式試圖躲避特征碼掃描,加殼后長度為“37,740 字節(jié)”,圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”,主要通過“網(wǎng)頁木馬”、“文件捆綁”的方式傳播,病毒主要目的為下載大量病毒程序至用戶主機(jī)。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“Rootkit程序”,請(qǐng)直接選擇刪除處理(如圖1);
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Trojan-Downloader.Win32.Agent.amjj”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶,微點(diǎn)反病毒專家建議:
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝,避免病毒通過捆綁的方式進(jìn)入您的系統(tǒng)。
2、盡快將您的殺毒軟件特征庫升級(jí)到最新版本進(jìn)行查殺,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請(qǐng)注意及時(shí)與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
3、開啟windows自動(dòng)更新,及時(shí)打好漏洞補(bǔ)丁。
病毒分析
該樣本被執(zhí)行后,將修改注冊(cè)表,將自身設(shè)置為自啟動(dòng)項(xiàng),相關(guān)注冊(cè)表如下:
| |
鍵:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”
值:“PendingFileRenameOperations”
數(shù)據(jù):“\??\C:\Sample.exe” |
|
釋放驅(qū)動(dòng)文件“Dogkiller.sys”至系統(tǒng)文件夾“%Temp%”
| |
鍵:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DogKiller”
值:“Type”
數(shù)據(jù):“Driver service”
值:“Start”
數(shù)據(jù):“SERVICE DEMAND START”
值:“ImagePath”
數(shù)據(jù):“\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\DogKiller.sys”
值:“DisplayName”
數(shù)據(jù):“DogKiller” |
|
“Dogkiller.sys”為病毒作者編寫的磁盤過濾驅(qū)動(dòng),服務(wù)創(chuàng)建成功后調(diào)用此服務(wù),嘗試對(duì)磁盤進(jìn)行讀寫操作實(shí)現(xiàn)對(duì)“userinit.exe”文件的修改,等待下次重啟后利用“userinit.exe”文件進(jìn)行下載大量木馬。
當(dāng)“Dogkiller.sys”操作完成后,將刪除“DogKiller.sys”文件,并調(diào)用API函數(shù)“SHDeleteKeyA”刪除注冊(cè)表中“DogKiller”服務(wù)相關(guān)項(xiàng)實(shí)現(xiàn)對(duì)該服務(wù)的清除,查詢聯(lián)網(wǎng)狀態(tài),訪問下列指定的網(wǎng)址進(jìn)行病毒自身統(tǒng)計(jì):
| |
| “http://liebiao.****just.cn/liebiao/1/clcount/count.asp?mac=00c0****da87&ver=2008102001” |
|
訪問下列指定網(wǎng)址的木馬列表,進(jìn)行下載木馬并在下載后進(jìn)行調(diào)用運(yùn)行:
| |
| “http://liebiao.****just.cn/liebiao/1/down.txt” |
|
網(wǎng)址內(nèi)容為:
| |
[file]
isfile=1
url1=http://av114.ring360.mo.cn/******111/1.exe
biaoji1=Testp1.exe
yanshi1=0.6
url2=http://av114.ring360.mo.cn/******111/2.exe
biaoji2=Testp2.exe
yanshi2=0.2
url3=http://av114.ring360.mo.cn/******111/3.exe
biaoji3=Testp3.exe
yanshi3=0.2
url4=http://av114.ring360.mo.cn/******111/4.exe
biaoji4=Testp4.exe
yanshi4=0.2
url5=http://av114.ring360.mo.cn/******111/5.exe
biaoji5=Testp5.exe
yanshi5=0.2
url6=http://av114.ring360.mo.cn/******111/6.exe
biaoji6=Testp6.exe
yanshi6=0.2
url7=http://av114.ring360.mo.cn/******111/7.exe
biaoji7=Testp7.exe
yanshi7=0.2
url8=http://av114.ring360.mo.cn/******111/8.exe
biaoji8=Testp8.exe
yanshi8=0.2
url9=http://av114.ring360.mo.cn/******111/9.exe
biaoji9=Testp9.exe
yanshi9=0.2
url10=http://av114.ring360.mo.cn/******111/10.exe
biaoji10=Testp10.exe
yanshi10=0.2
url11=http://av114.ring360.mo.cn/******111/11.exe
biaoji11=Testp11.exe
yanshi11=0.2
url12=http://av114.ring360.mo.cn/******111/12.exe
biaoji12=Testp12.exe
yanshi12=0.2
url13=http://av114.ring360.mo.cn/******111/13.exe
biaoji13=Testp13.exe
yanshi13=0.2
url14=http://av114.ring360.mo.cn/******111/14.exe
biaoji14=Testp14.exe
yanshi14=0.2
url15=http://av114.ring360.mo.cn/******111/15.exe
biaoji15=Testp15.exe
yanshi15=0.2
url16=http://av114.ring360.mo.cn/******111/16.exe
biaoji16=Testp16.exe
yanshi16=0.2
url17=http://av114.ring360.mo.cn/******111/17.exe
biaoji17=Testp17.exe
yanshi17=0.2
url18=http://av114.ring360.mo.cn/******111/18.exe
biaoji18=Testp18.exe
yanshi18=0.2
url19=http://av114.ring360.mo.cn/******111/19.exe
biaoji19=Testp19.exe
yanshi19=0.2
url20=http://av114.ring360.mo.cn/******111/20.exe
biaoji20=Testp20.exe
yanshi20=0.2
url21=http://av114.ring360.mo.cn/******111/21.exe
biaoji21=Testp21.exe
yanshi21=0.2
url22=http://av114.ring360.mo.cn/******111/22.exe
biaoji22=Testp22.exe
yanshi22=0.2
url23=http://av114.ring360.mo.cn/******111/23.exe
biaoji23=Testp23.exe
yanshi23=0.2
url24=http://av114.ring360.mo.cn/******111/24.exe
biaoji24=Testp24.exe
yanshi24=0.2
url25=http://av114.ring360.mo.cn/******111/25.exe
biaoji25=Testp25.exe
yanshi25=0.2
url26=http://av114.ring360.mo.cn/******111/26.exe
biaoji26=Testp26.exe
yanshi26=0.2
url27=http://av114.ring360.mo.cn/******111/27.exe
biaoji27=Testp27.exe
yanshi27=0.2
url28=http://av114.ring360.mo.cn/******111/28.exe
biaoji28=Testp28.exe
yanshi28=0.2
url29=http://av114.ring360.mo.cn/******111/29.exe
biaoji29=Testp29.exe
yanshi29=0.2
url30=http://av114.ring360.mo.cn/******111/30.exe
biaoji30=Testp30.exe
yanshi30=0.2
url31=http://av114.ring360.mo.cn/******111/31.exe
biaoji31=Testp31.exe
yanshi31=0.2
url32=http://av114.ring360.mo.cn/******111/32.exe
biaoji32=Testp32.exe
yanshi32=0.2
url33=http://av114.ring360.mo.cn/******111/33.exe
biaoji33=Testp33.exe
yanshi33=0.2
url34=http://av114.ring360.mo.cn/******111/34.exe
biaoji34=Testp34.exe
yanshi34=0.2
url35=http://av**.ring360.mo.cn/35.exe
biaoji35=Testp35.exe
yanshi35=0.2
url36=http://av**.ring360.mo.cn/36.exe
biaoji36=Testp36.exe
yanshi36=0.2
url37=http://av**.ring360.mo.cn/37.exe
biaoji37=Testp37.exe
yanshi37=0.2
url38=http://av**.ring360.mo.cn/38.exe
biaoji38=Testp38.exe
yanshi38=0.2
url39=http://av**.ring360.mo.cn/39.exe
biaoji39=Testp39.exe
yanshi39=0.2
url40=http://av**.ring360.mo.cn/40.exe
biaoji40=Testp40.exe
yanshi40=0.2
url41=http://av**.ring360.mo.cn/41.exe
biaoji41=Testp41.exe
yanshi41=0.2
url42=http://av**.ring360.mo.cn/42.exe
biaoji42=Testp42.exe
yanshi42=0.2
url43=http://av**.ring360.mo.cn/43.exe
biaoji43=Testp43.exe
yanshi43=0.2
url44=http://av**.ring360.mo.cn/44.exe
biaoji44=Testp44.exe
yanshi44=0.2
url45=http://av**.ring360.mo.cn/45.exe
biaoji45=Testp45.exe
yanshi45=0.2
url46=http://av**.ring360.mo.cn/46.exe
biaoji46=Testp46.exe
yanshi46=0.2
url47=http://av**.ring360.mo.cn/47.exe
biaoji47=Testp47.exe
yanshi47=0.2
url48=http://av**.ring360.mo.cn/48.exe
biaoji48=Testp48.exe
yanshi48=0.2
url49=http://av**.ring360.mo.cn/49.exe
biaoji49=Testp49.exe
yanshi49=0.2
url50=http://av**.ring360.mo.cn/50.exe
biaoji50=Testp50.exe
yanshi50=0.2
url51=http://av**.ring360.mo.cn/51.exe
biaoji51=Testp51.exe
yanshi51=0.2
url52=http://av**.ring360.mo.cn/52.exe
biaoji52=Testp52.exe
yanshi52=0.2
count=52 |
|
