捕獲時間
2009-1-26
病毒摘要
該樣本是使用“VC”編寫的木馬下載器���,由微點主動防御軟件自動捕獲�����,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為“25,088 字節(jié)”��,圖標為“
”���,病毒擴展名為“exe”����,主要通過“網(wǎng)頁木馬”��、“文件捆綁”的方式傳播�����,病毒主要目的為下載病毒程序至用戶主機。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬�、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶��,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞�����。無論您是否已經(jīng)升級到最新版本���,微點主動防御都能夠有效清除該病毒�。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”�����,請直接選擇刪除處理(如圖1)�����;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本��,微點將報警提示您發(fā)現(xiàn)"Trojan-Downloader.Win32.ACVE.nn”,請直接選擇刪除(如圖2)�����。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶����,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝�,避免病毒通過捆綁的方式進入您的系統(tǒng)����。
2�����、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺�����,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持����。
3�����、開啟windows自動更新���,及時打好漏洞補丁���。
病毒分析
該樣本程序被執(zhí)行后��,復(fù)制自身至系統(tǒng)文件夾“%SystemRoot%\system32\”重命名為“KOAUOLTE.EXE”�����,修改注冊表,建立自啟動項目:
| |
鍵:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
值:“360ary”
數(shù)據(jù):“C:\WINDOWS\system32\koauolte.exe” |
|
在“%SystemRoot%\system32\drivers”文件夾釋放驅(qū)動文件“lklosd.sys”����, 提升自身權(quán)限至“SeDebugPrivilege”�,遍歷以下軟件進程后���,在“%SystemRoot%”文件夾釋放動態(tài)庫文件“jiocs.dll”�,調(diào)用其導(dǎo)出函數(shù)“MyEntryPoint”, 嘗試關(guān)閉以下軟件進程:
| |
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
kwatch.exe
ccenter.exe
ras.exe
rstray.exe
rsagent.exe
ravtask.exe
ravstub.exe
ravmon.exe
ravmond.exe
avp.exe
360safebox.exe
360Safe.exe
Thunder5.exe
FreeLibrary
kernel32.dll
taskkill |
|
隨后將所發(fā)現(xiàn)的進程與“Thunder5.exe”重定向至“svchost.exe”,使部分安全軟件失效,加載驅(qū)動文件“lklosd.sys”,輔助關(guān)閉以進程����,嘗試對“%AllUsersProfile%\Application Data\Kaspersky Lab\AVP8\Bases\kavbase.kdl”與“HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP8\CKAHUM\LastSet”進行修改�。通過注冊表查找“SOFTWARE\360Safe\safemon”�����,定位“360tray.exe”與“safeboxTray.exe”磁盤路徑�,試圖通過CreateProcess函數(shù)加參數(shù)“ /u”運行“safeboxTray.exe”����,嘗試卸載�����。
啟動“KOAUOLTE.EXE” 病毒將訪問“GOOGLE”判斷主機是否聯(lián)網(wǎng)�,使用API函數(shù)“URLDownloadToFileA”下載文件“http://www.o***tre.net/down/ko.exe”�����。“ko.exe”將被存儲至“%Temp%”文件夾�����,并重命名為“svDE.tmp”�,“ svDE.tmp”啟動后�����,將修改注冊表����,設(shè)置自啟動:
| |
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
值:PendingFileRenameOperations
數(shù)據(jù):\??\%Temp%\svDE.tmp |
|
釋放驅(qū)動文件“98989898”創(chuàng)建為服務(wù)并啟動��,“98989898”為病毒制造者編寫的磁盤過濾驅(qū)動���,病毒將修改“ctfmon.exe”將部分代碼寫入其中�,操作完成后刪除服務(wù)避免發(fā)現(xiàn)�����,服務(wù)相關(guān)注冊表鍵值如下:
| |
鍵:HKLM\SYSTEM\CurrentControlSet\Services\Kisstusb
值:DisplayName
數(shù)據(jù):Kisstusb
值:ImagePath
數(shù)據(jù):\??\%Temp%\98989898
值:Start
數(shù)據(jù):SERVICE DEMAND START |
|
“svDE.tmp”還將訪問“***.koo546.com”��,下載“oo.txt”保存至%SystemRoot%\system32%����,“oo.txt”內(nèi)容如下:
| |
[file]
open=y
url1=http://www.w**ks.com/new/new1.exe
url2=http://www.w**ks.com/new/new2.exe
url3=http://www.w**ks.com/new/new3.exe
url4=http://www.w**ks.com/new/new4.exe
url5=http://www.w**ks.com/new/new5.exe
url6=http://www.w**ks.com/new/new6.exe
url7=http://www.w**ks.com/new/new7.exe
url8=http://www.w**ks.com/new/new8.exe
url9=http://www.w**ks.com/new/new9.exe
url10=http://www.w**ks.com/new/new10.exe
url11=http://www.w**ks.com/new/new11.exe
url12=http://www.w**ks.com/new/new12.exe
url13=http://www.w**ks.com/new/new13.exe
url14=http://www.w**ks.com/new/new14.exe
url15=http://www.w**ks.com/new/new15.exe
url16=http://www.w**ks.com/new/new16.exe
url17=http://www.w**ks.com/new/new17.exe
url18=http://www.w**ks.com/new/new18.exe
url19=http://www.w**ks.com/new/new19.exe
url20=http://www.w**ks.com/new/new20.exe
url21=http://www.w**ks.com/new/new21.exe
url22=http://www.w**ks.com/new/new22.exe
url23=http://www.w**ks.com/new/new23.exe
url24=http://www.w**ks.com/new/new24.exe
url25=http://www.w**ks.com/new/new25.exe
url26=http://www.w**ks.com/new/new26.exe
url27=http://www.w**ks.com/new/new27.exe
url28=http://www.w**ks.com/new/new28.exe
count=28 |
|
病毒將下載上除文件并運行,其中包含了各類盜號木馬��,隨后將搜集主機MAC地址信息將其發(fā)送到“bao**.9966.org/getmac.jsp”以進行感染統(tǒng)計��。
