木馬下載器
Trojan-Downloader.Win32.Generic.agr
捕獲時(shí)間
2009-7-26
危害等級(jí)
高
病毒癥狀
該樣本是使用“Delphi"編寫(xiě)的木馬下載器,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲,采用“upx”加殼方式,企圖躲避特征碼掃描,加殼后長(zhǎng)度為“33,792 字節(jié)”,圖標(biāo)為“
”,病毒擴(kuò)展名為“exe”,主要通過(guò)“文件捆綁”、“下載器下載”、“移動(dòng)存儲(chǔ)介質(zhì)”等方式傳播,病毒主要目的為是下載大量木馬,惡意程序。
用戶(hù)中毒后,會(huì)出現(xiàn)安全軟件無(wú)故關(guān)閉,網(wǎng)絡(luò)運(yùn)行緩慢,安全模式無(wú)法進(jìn)入,windows系統(tǒng)無(wú)故報(bào)錯(cuò)等現(xiàn)象。
感染對(duì)象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網(wǎng)頁(yè)木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶(hù),無(wú)須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請(qǐng)直接選擇刪除處理(如圖1);
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)"Trojan-Downloader.Win32.Generic.agr”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1、手動(dòng)刪除以下文件:
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.Exe
%SystemDriver%\autorun.inf
%SystemRoot%\extext1805984t.Exe
%SystemRoot%\system32\scvhost.Exe
2、手動(dòng)替換以下相同版本文件:
%SystemRoot%\system32\userinit.Exe
%SystemRoot%\system32\drivers\etc\hosts
3、手動(dòng)刪除以下注冊(cè)表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[安全軟件]
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
值:RsTray
數(shù)據(jù):%SystemRoot%\system32\scvhost.Exe
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶(hù)文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶(hù)名稱(chēng)\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)首先將自身設(shè)置為系統(tǒng)隱藏屬性,隱藏方式打開(kāi)記事本notepad.Exe,然后查找記事本窗口,如果沒(méi)有找到,退出進(jìn)程,如果找到發(fā)送消息關(guān)閉窗口;
(2)停止ekrn服務(wù),并且結(jié)束ekrn.exe,egui.Exe進(jìn)程;
(3)釋放動(dòng)態(tài)庫(kù)文件tete1034078t.Dll,加載,結(jié)束CCENTER.EXE,KAVStart.exe和avp.exe進(jìn)程并停止服務(wù),對(duì)大量安全軟件映像劫持,并刪除啟動(dòng)項(xiàng);
(4)釋放驅(qū)動(dòng)aec.Sys和AsyncMac.Sys,以服務(wù)方式啟動(dòng),恢復(fù)SSDT,結(jié)束大部分安全軟件進(jìn)程,刪除驅(qū)動(dòng)和動(dòng)態(tài)庫(kù);
(5)創(chuàng)建線程,在系統(tǒng)盤(pán)內(nèi)創(chuàng)建目錄recycle.{645FF040-5081-101B-9F08-00AA002F954E}并將病毒復(fù)制該目錄下重命名為rav32.Exe,釋放autorun.inf;
(6)停止wscsvc和sharedaccess服務(wù);
(7)釋放extext1805984t.Exe和驅(qū)動(dòng)文件pcidump.Sys,此驅(qū)動(dòng)用來(lái)修改userinit.Exe文件;
(8)運(yùn)行extext1805984t.Exe,設(shè)置%system32%和%temp%目錄的權(quán)限為everyone完全控制;
(9) 修改注冊(cè)表實(shí)現(xiàn)%SystemRoot%system32\scvhost.Exe自啟動(dòng);
(10)下載文件覆蓋系統(tǒng)hosts文件,發(fā)送統(tǒng)計(jì)信息到指定網(wǎng)站,下載大量木馬到本地運(yùn)行;
(11)拷貝自身到%SystemRoot%\system32\scvhost.Exe;
(12)釋放批處理,刪除自身;
病毒創(chuàng)建文件:
%SystemRoot%\tete1034078t.Dll
%SystemRoot%\system32\drivers\aec.Sys
%SystemRoot%\system32\drivers\AsyncMac.Sys
%SystemDriver%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.Exe
%SystemDriver%\autorun.inf
%SystemRoot%\extext1805984t.Exe
%SystemRoot%\system32\drivers\pcidump.Sys
%SystemRoot%\system32\scvhost.Exe
病毒所在目錄\afc90a.bat
病毒修改文件:
%SystemRoot%\system32\userinit.Exe
%SystemRoot%\system32\drivers\etc\hosts
病毒刪除文件:
%SystemRoot%\tete1034078t.Dll
%SystemRoot%\system32\drivers\aec.Sys
%SystemRoot%\system32\drivers\AsyncMac.Sys
%SystemRoot%\system32\drivers\pcidump.Sys
病毒創(chuàng)建注冊(cè)表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asyncmac
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcidump
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RsTray
病毒刪除注冊(cè)表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[啟動(dòng)項(xiàng)目]
病毒連接網(wǎng)絡(luò)
http://9***ve98.cn/os001/count.asp
http://0***.88mw.com/xx1/ttnew.txt
http://***qwdqw.cn/xx1.exe
http://***qwdqw.cn/xx2.exe
http://***qwdqw.cn/xx3.exe
http://***qwdqw.cn/xx4.exe
http://***qwdqw.cn/xx5.exe
http://***qwdqw.cn/xx6.exe
http://***qwdqw.cn/xx7.exe
http://***qwdqw.cn/xx9.exe
http://***qwdqw.cn/xx10.exe
http://***qwdqw.cn/xx11.exe
http://***qwdqw.cn/xx12.exe
http://***qwdqw.cn/xx13.exe
http://***qwdqw.cn/xx14.exe
http://***qwdqw.cn/xx15.exe
http://***qwdqw.cn/xx16.exe
http://***qwdqw.cn/xx17.exe
http://***qwdqw.cn/xx18.exe
http://***qwdqw.cn/xx19.exe
http://***qwdqw.cn/xx20.exe
http://***qwdqw.cn/xx21.exe
http://***qwdqw.cn/xx22.exe
http://***qwdqw.cn/xx23.exe
http://***qwdqw.cn/xx24.exe
http://***qwdqw.cn/xx25.exe
http://***qwdqw.cn/xx26.exe
http://***qwdqw.cn/xx27.exe
http://***qwdqw.cn/xx28.exe
http://***qwdqw.cn/xx29.exe
http://***qwdqw.cn/xx30.exe
http://***qwdqw.cn/xx31.exe
http://***qwdqw.cn/xx32.exe
http://***qwdqw.cn/xx33.exe
http://***qwdqw.cn/xx34.exe
http://***qwdqw.cn/xx35.exe
http://***qwdqw.cn/xx41.exe
http://***qwdqw.cn/xx42.exe
http://***qwdqw.cn/1690.exe
