木馬下載器
Trojan-Downloader.Win32.Geral.pu
捕獲時間
2009-7-8
危害等級
2
病毒癥狀
該樣本是使用“VC”編寫的木馬程序,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“32,768字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為下載大量病毒并運行。病毒的主要目的是下載大量病毒。
用戶中毒后,會出現網絡緩慢、殺毒軟件無故退出或失效,出現大量未知進程、windows系統運行緩慢和無故報錯等現象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現" Trojan-Downloader.Win32.Geral.pu”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、拷貝相同版本的userinit.exe替換%SystemRoot%\system32\userinit.exe
2、手動刪除以下文件:
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemRoot%\extext12944765t.exe
%SystemDriver%\AUTORUN.IN
%SystemRoot%\system32\scvhost.exe
3、手動刪除以下注冊表鍵值:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[鏡像劫持]
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:RsTray
數據:%SystemRoot%\system32\scvhost.exe
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)病毒首先隱藏執行notepad.exe,然后查找notepad.exe的窗口類句柄,如果找到就發送一個WM_CLOSE消息將notepad.exe的窗口退出,如果沒找到notepad.exe的窗口類,退出當前進程。
(2)病毒試圖停止ekrn服務,并通過調用cmd.exe執行taskkill命令將Nod32殺毒軟件的ekrn.exe和egui.exe進程終止。釋放動態鏈接庫文件tete15457109t.dll(名稱數字部分隨機生成)到%SystemRoot%目錄。創建新進程,通過調用%SystemRoot%\system32\rundll32.exe加載tete15457109t.dll。
(3)獲得當前進程列表,檢測卡巴斯基殺毒軟件的CCENTER.EXE、KAVStart.exe、avp.exe三個主進程,如果發現進程,刪除相關服務和終止相關進程,病毒會調用SFC.dll動態鏈接庫去掉AsyncMac.sys和aec.sys兩個驅動文件的保護屬性,并釋放驅動文件aec.sys和AsyncMac.sys,創建服務并啟動驅動。啟動完成后,通過aec.sys驅動來恢復SSDT,通過AsyncMac.sys驅動來終止殺軟進程,修改注冊表實現鏡像劫持,并刪除所有注冊表啟動項目,刪除aec.sys和AsyncMac.sys兩個驅動文件。
(4)完成以上工作后,病毒刪除tete15457109t.dll。
(5)創建新線程,創建目錄%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E},然后病毒將主體重命名為rav32.exe,拷貝到%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe,并設置文件屬性為系統隱藏,寫AUTORUN.INF,使用戶打開系統磁盤或打開資源管理器就執行病毒。
(6)釋放%SystemRoot%\extext12944765t.exe (數字部分隨機生成)并執行。將病毒自身重命名為scvhost.exe拷貝到%SystemRoot%\system32\目錄下.
(7)病毒文件extext12944765t.exe,首先比較自身是不是userinit.exe,如果是運行explorer.exe進程,通過net命令停止wscsvc(Windows安全中心)服務,隨后停止ShareAccess(Windows防火墻)的服務,接著通過cacls將%SystemRoot%\system32\目錄和%TEMP%目錄的訪問權限設置為everyone完全控制。
(8)創建456ghj657的互斥體,防止二次運行,創建新線程,訪問病毒統計地址
(9)病毒獲得注冊表操作相關API函數的實際虛擬地址,添加注冊表自啟動項
(10)獲得控制服務操作相關API函數的實際虛擬地址, 釋放驅動%SystemRoot%\system32\drivers\pcidump.sys 創建服務并加載啟動,
通過該驅動,將extext12944765t.exe的地址寫入%SystemRoot%\system32\userinit.exe文件的地址空間,感染userinit.exe文件。之后,刪除驅動C:\WINDOWS\system32\drivers\pcidump.sys和服務
(11)訪問病毒下載地址列表,下載大量病毒,并運行
(12)在病毒主文件的當前目錄創建批處理文件afc90a.bat,并隱藏執行該批處理,執行完后刪除病毒主文件和afc90a.bat文件。
病毒創建文件:
%SystemRoot%\tete15457109t.dll
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
%SystemRoot%\extext12944765t.exe
%SystemDriver%\AUTORUN.INF
%SystemRoot%\system32\drivers\pcidump.sys
%SystemRoot%\system32\scvhost.exe
X:\afc90a.bat (X為病毒主文件所在路徑)
病毒修改文件:
%SystemRoot%\system32\userinit.exe
病毒刪除文件:
%SystemRoot%\tete15457109t.dll
%SystemRoot%\system32\drivers\aec.sys
%SystemRoot%\system32\drivers\AsyncMac.sys
%SystemRoot%\system32\drivers\pcidump.sys
%SystemDriver%\tt.tmp
X:\afc90a.bat
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[鏡像劫持]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\RsTray
病毒刪除注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
病毒訪問網絡:
http://98l**98.cn/os009/count.asp
http://fc.****.com/xx9/ttnew.txt
http://2w****qw.cn/xx1.exe
http://2w****qw.cn/xx2.exe
http://2w****qw.cn/xx3.exe
http://2w****qw.cn/xx4.exe
http://2w****qw.cn/xx5.exe
http://2w****qw.cn/xx6.exe
http://2w****qw.cn/xx7.exe
http://2w****qw.cn/xx8.exe
http://2w****qw.cn/xx9.exe
http://2w****qw.cn/xx10.exe
http://2w****qw.cn/xx11.exe
http://2w****qw.cn/xx12.exe
http://2w****qw.cn/xx13.exe
http://2w****qw.cn/xx14.exe
http://2w****qw.cn/xx15.exe
http://2w****qw.cn/xx16.exe
http://2w****qw.cn/xx17.exe
http://2w****qw.cn/xx18.exe
http://2w****qw.cn/xx19.exe
http://2w****qw.cn/xx20.exe
http://2w****qw.cn/xx21.exe
http://2w****qw.cn/xx22.exe
http://2w****qw.cn/xx23.exe
http://2w****qw.cn/xx24.exe
http://2w****qw.cn/xx25.exe
http://2w****qw.cn/xx26.exe
http://2w****qw.cn/xx27.exe
http://2w****qw.cn/xx28.exe
http://2w****qw.cn/xx29.exe
http://2w****qw.cn/xx30.exe
http://2w****qw.cn/xx31.exe
http://2w****qw.cn/xx32.exe
http://2w****qw.cn/xx33.exe
http://2w****qw.cn/xx34.exe
http://2w****qw.cn/xx35.exe
http://2w****qw.cn/xx43.exe
http://2w****qw.cn/xx46.exe
http://2w****qw.cn/1690.exe
