捕獲時間
2009-6-3
病毒癥狀
該樣本是使用“VC”編寫的木馬下載器���,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式�����,企圖躲避特征碼掃描�����,加殼后長度為“39,944 字節(jié)”�����,圖標為“
”��,病毒擴展名為“exe”,主要通過“文件捆綁”���、“下載器下載”、“網(wǎng)頁掛馬”等方式傳播����,病毒主要目的為下載大量病毒并運行���������!
用戶中毒后��,會出現(xiàn)安全軟件無故關閉,網(wǎng)絡運行緩慢��,出現(xiàn)大量未知進程����,windows系統(tǒng)無故報錯等現(xiàn)象���。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁木馬�����、文件捆綁���、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶��,無須任何設置,微點主動防御將自動保護您的系統(tǒng)免受該病毒的入侵和破壞�。無論您是否已經升級到最新版本���,微點主動防御都能夠有效清除該病毒�����。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發(fā)現(xiàn)該病毒后將報警提示您發(fā)現(xiàn)“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本��,微點將報警提示您發(fā)現(xiàn)" Trojan-Downloader.Win32.Geral.hd”���,請直接選擇刪除(如圖2)��。
圖2 微點主動防御軟件升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶����,微點反病毒專家建議:
1����、使用相同版本文件替換%SystemRoot%\system32\userinit.exe
2���、手動刪除以下文件:
%SystemRoot%\extext12881062t.exe
%SystemRoot%\system32\scvhost.exe
3�����、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
值:RsTray
數(shù)據(jù):%SystemRoot%\system32\scvhost.exe
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū)���,通常為“C:\”
%SystemRoot% WINDODWS所在目錄�����,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾�,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)動態(tài)獲取病毒所需API
(2)停止ekrn服務,結束ekrn.exe和egui.exe進程
(3)釋放動態(tài)庫�,并加載��,遍歷進程,如果發(fā)現(xiàn)CCENTER.EXE,KAVStart.exe和avp.exe進程���,停止進程進程相關服務,關閉相關進程,如果發(fā)現(xiàn)avp.exe進程,釋放驅動文件恢復SSDT,結束如下安全軟件進程,刪除所有注冊表啟動項目��,刪除動態(tài)庫文件�,刪除驅動文件:
avp.exe
safeboxTray.exe
360Safebox.exe
360tray.exe
antiarp.exe
ekrn.exe
RsAgent.exe
mfeann.exe
egui.exe
RavMon.exe
RavMonD.exe
RavTask.exe
CCenter.exe
RavStub.exe
RsTray.exe
ScanFrm.exe
Rav.exe
AgentSvr.exe
CCenter.exe
QQDoctor.exe
McProxy.exe
mcshield.exe
rsnetsvr.exe
naPrdMgr.exe
MpfSrv.exe
MPSVC.exe
MPSVC1.exe
KISSvc.exe
KPfwSvc.exe
kmailmon.exe
KavStart.exe
engineserver.exe
KPFW32.exe
KVSrvXP.exe
ccSetMgr.exe
ccEvtMgr.exe
defwatch.exe
rtvscan.exe
ccapp.exe
vptray.exe
mcupdmgr.exe
mfevtps.exe
mcsysmon.exe
mcmscsvc.exe
mcnasvc.exe
mcagent.exe
vstskmgr.exe
FrameworkService.exe
mcshell.exe
mcinsupd.exe
bdagent.exe
livesrv.exe
vsserv.exe
xcommsvr.exe
ccSvcHst.exe
SHSTAT.exe
McTray.exe
udaterui.exe
KAVStart.exe
Uplive.exe
KWatch.exe
QQDoctorRtp.exe
DrUpdate.exe
rfwsrv.exe
RegGuide.exe
MPSVC2.exe
MPMon.exe
(4)釋放病毒文件%SystemRoot%\extext12881062t.exe,并運行
(5)病毒文件首先創(chuàng)建互斥,對比路徑,如果發(fā)現(xiàn)自己是userinit.exe�����,運行explorer.exe�,設置system32和%temp%目錄為everyone完全控制,修改創(chuàng)建注冊表實現(xiàn)自啟動,訪問病毒統(tǒng)計地址����,然后下載病毒����,并運行
(6)釋放驅動文件�,創(chuàng)建服務啟動��,修改userinit.exe�����,刪除服務,刪除驅動文件
(7)病毒主程序移動自身為%SystemRoot%\system32\scvhost.exe����,退出進程
病毒創(chuàng)建文件:
%SystemRoot%\12718906test.dll
%SystemRoot%\system32\drivers\aec.SYS
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\extext12881062t.exe
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\scvhost.exe
病毒修改文件:
%SystemRoot%\system32\userinit.exe
病毒刪除文件:
%SystemRoot%\12718906test.dll
%SystemRoot%\system32\drivers\aec.SYS
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\pcidump.sys
病毒創(chuàng)建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RsTray
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[所有啟動項目]
病毒訪問網(wǎng)絡:
http://asd***ww.cn/0027/Count.asp http://sftvv**w.cn/0027/ttnew.txt
http://loe**uw.cn/nl1.exe
http://loe**uw.cn/nl2.exe
http://loe**uw.cn/nl3.exe
http://loe**uw.cn/nl4.exe
http://loe**uw.cn/nl5.exe
http://loe**uw.cn/nl6.exe
http://loe**uw.cn/nl7.exe
http://loe**uw.cn/nl8.exe
http://loe**uw.cn/nl9.exe
http://loe**uw.cn/nl10.exe
http://loe**uw.cn/nl11.exe
http://loe**uw.cn/nl12.exe
http://loe**uw.cn/nl13.exe
http://loe**uw.cn/nl14.exe
http://loe**uw.cn/nl15.exe
http://loe**uw.cn/nl16.exe
http://loe**uw.cn/nl17.exe
http://loe**uw.cn/nl18.exe
http://loe**uw.cn/nl19.exe
http://loe**uw.cn/nl20.exe
http://loe**uw.cn/nl21.exe
http://loe**uw.cn/nl22.exe
http://loe**uw.cn/nl23.exe
http://loe**uw.cn/nl24.exe
http://loe**uw.cn/nl25.exe
http://loe**uw.cn/nl26.exe
http://loe**uw.cn/nl27.exe
http://loe**uw.cn/nl28.exe
http://loe**uw.cn/nl29.exe
http://loe**uw.cn/nl30.exe
http://loe**uw.cn/nl31.exe
http://loe**uw.cn/nl32.exe
http://loe**uw.cn/nl33.exe
http://loe**uw.cn/nl35.exe
http://loe**uw.cn/nl36.exe
http://loe**uw.cn/nl37.exe
http://loe**uw.cn/nl41.exe
http://loe**uw.cn/nl42.exe
