木馬下載器
Trojan-downloader.Win32.Small.acnm
捕獲時間
2009-7-28
危害等級
中
病毒癥狀
該樣本是使用“VC”編寫的木馬下載器�,由微點主動防御軟件自動捕獲�����,長度為“16,384 字節”,圖標為“
”���,病毒擴展名為“exe”���,主要通過“文件捆綁”�、“下載器下載”、“網頁掛馬”等方式傳播��,病毒主要目的為反殺毒軟件�����,下載大量病毒運行����。
用戶中毒后��,會出現系統運行緩慢����、網絡速度下降��、出現大量未知進程��、Windows無故報錯、殺毒軟件無法啟動或退出等現象��。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬���、文件捆綁�����、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶���,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本���,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知后門程序”,請直接選擇刪除處理(如圖1)����;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本����,微點將報警提示您發現"Trojan-downloader.Win32.Small.acnm”�,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、使用相同版本文件替換以下文件:
%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\dllCache\appmgmts.dll
2�、手動刪除以下文件:
%SystemRoot%\System32\drivers\klan.sys
3����、手動刪除以下注冊表值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan
4���、手動修改以下注冊表:
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt
值: Start
數據:3
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾��,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1)加載動態鏈接庫sfc.dll,獲得其第5個導出函數的虛擬地址�����。
(2)檢查服務項AppMgmt是否存在�,檢查該服務的狀態,如果沒有啟動,查找文件%SystemRoot%\system32\appmgmts.dll是否存在��,若找到�,調用sfc.dll,去掉appmgmts.dll的文件保護屬性,然后釋放一個同名文件到該目錄�����,替換該文件���,接著替換掉系統目錄%SystemRoot%\system32\dllCache\下的同名文件, 如果替換成功����,病毒通過啟動系統服務的方式����,完成該動態鏈接庫加載。
(3)創建線程���,釋放驅動%SystemRoot%\System32\drivers\klan.sys,創建服務并加載。通過該驅動����,恢復SSDT�。
(4)遍歷進程快照����,查找并結束大多數安全軟件進程。
(5)創建線程����,加載urlmon.dll�����,獲得其導出函數URLDownloadToFileA的虛擬地址,從指定地方下載大量病毒網址資源保存到本地文件%TEMP%\YLOG.txt文件中,通過讀取YLOG.txt配置文件,下載大量病毒到本地運行���。完成之后,刪除YLOG.txt。
(6)創建線程����,通過修改注冊表�,改變AppMgmt服務參數���,對大多數反病毒軟件實行映像劫持���。
(7)釋放批處理文件%TEMP%\TempLog.bat,執行該文件刪除病毒自身���,完成之后�����,刪除TempLog.bat,退出當前進程。
病毒創建文件:
%SystemRoot%\system32\appmgmts.dll
%SystemRoot%\system32\dllCache\appmgmts.dll
%SystemRoot%\System32\drivers\klan.sys
%TEMP%\YLOG.txt
%TEMP%\TempLog.bat
病毒刪除文件:
%TEMP%\YLOG.txt
%TEMP%\TempLog.bat
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[映像劫持]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klan
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Start
病毒訪問網絡:
http://ipdown.***.cn/bbs/ggb1.txt
http://www.***.com/bbs/ggb1.txt
