捕獲時間
2009-4-28
病毒癥狀
該樣本是使用“VC ”編寫的“AV殺手”木馬,“upx”加殼,由微點主動防御軟件自動捕獲���,長度為“40,960 字節(jié)”���,圖標為“
”���,病毒擴展名為“exe”,主要通過“文件捆綁”�、“網(wǎng)頁掛馬”等方式傳播��,病毒主要目的為關(guān)閉大部分殺軟和下載大量木馬病毒至用戶主機運行�。
用戶中毒后,會出現(xiàn)計算機及網(wǎng)絡(luò)運行緩慢����,安全軟件無故關(guān)閉�����,各類軟件��、Windows無故報錯,發(fā)現(xiàn)大量未知進程等現(xiàn)象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁掛馬、文件捆綁�����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶�,無須任何設(shè)置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級到最新版本����,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版�����,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“可疑未知木馬”����,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經(jīng)將微點主動防御軟件升級到最新版本�����,微點將報警提示您發(fā)現(xiàn)"Trojan.Win32.AntiAV.ahn”����,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶��,微點反病毒專家建議:
1、不要在不明站點下載非官方版本的軟件進行安裝����,避免病毒通過捆綁的方式進入您的系統(tǒng)����。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺��,并開啟防火墻攔截網(wǎng)絡(luò)異常訪問,如依然有異常情況請注意及時與專業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持�。
3�、開啟windows自動更新�,及時打好漏洞補丁�。
未安裝微點主動防御軟件的手動解決辦法:
1���、使用相同版本文件替換%SystemRoot%\system32\userinit.Exe,修復%SystemRoot%\system32\drivers\etc\hosts文件
2、手動刪除以下文件:
%SystemRoot%\2486531_xeex.exe
%SystemRoot%\system32\scvhost.exe
3����、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
值:rstray
數(shù)據(jù):%SystemRoot%\system32\scvhost.exe
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)�����,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�����,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)查找窗口“TTe....xxx...ss”如果發(fā)現(xiàn)���,退出自身進程
(2)釋放動態(tài)庫文件��,并加載,停止殺軟服務(wù)和結(jié)束殺軟進程
(3)釋放驅(qū)動aec.SYS,創(chuàng)建服務(wù)����,啟動驅(qū)動�����,恢復SSDT����,刪除服務(wù)����,刪除驅(qū)動文件
(4)遍歷注冊表,發(fā)現(xiàn)卡巴相關(guān)注冊表,停止卡巴服務(wù),結(jié)束卡巴進程
(5)釋放驅(qū)動AsyncMac.Sys�,創(chuàng)建服務(wù)�,啟動驅(qū)動�,結(jié)束殺軟進程��,并停止服務(wù),刪除服務(wù),刪除驅(qū)動文件
(6)創(chuàng)建映像劫持和創(chuàng)建啟動項目,刪除動態(tài)庫文件
(7)釋放%SystemRoot%\2486531_xeex.exe,并運行,比較自身是不是userinit.exe,如果是��,運行explorer.exe
(8)設(shè)置system32和temp目錄為everyone完全控制��,下載文件覆蓋hosts文件,獲取計算信息,提交到病毒統(tǒng)計地址,下載病毒��,并運行
(9)釋放驅(qū)動文件pcidump.sys,創(chuàng)建服務(wù)啟動驅(qū)動,修改userinit.exe��,刪除服務(wù),刪除驅(qū)動文件
(10)移動自身為%SystemRoot%\system32\scvhost.exe
病毒創(chuàng)建文件:
%SystemRoot%\system32\scvhost.exe
%SystemRoot%\system32\killdll.dll
%SystemRoot%\system32\drivers\AsyncMac.Sys
%SystemRoot%\system32\drivers\aec.SYS
%SystemRoot%\sytem32\pcidump.Sys
%SystemRoot%\2486531_xeex.exe
病毒修改文件:
%SystemRoot%\system32\userinit.Exe
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%SystemRoot%\system32\killdll.dll
%SystemRoot%\system32\drivers\AsyncMac.Sys
%SystemRoot%\system32\drivers\aec.SYS
%SystemRoot%\sytem32\pcidump.Sys
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rstray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[安全軟件名稱]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒創(chuàng)建進程:
explorer.exe
病毒訪問網(wǎng)絡(luò):
http://wg.Oy***.com/host.Txt
http://******.qvodcn8.com/list/get.asp
http://wg.Oyd**.com/01/fz.Txt
