廣告程序
Trojan-Clicker.Win32.Delf.agv
捕獲時間
2009-8-19
危害等級
高
病毒癥狀
該樣本是使用“MFC”編寫的廣告程序,由微點主動防御軟件自動捕獲,采用“UPX”加殼方式,企圖躲避特征碼掃描,加殼后長度為“61,440 字節”,圖標為“
”,病毒擴展名為“exe”,主要通過“文件捆綁”、“下載器下載”、“網頁掛馬”等方式傳播,病毒主要目的為增加指定網址流量和點擊數。
用戶中毒后,會出現機器運行緩慢、網絡速度降低、出現大量未知進程、訪問網站彈出大量廣告等現象。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“病毒”,請直接選擇刪除處理(如圖1);
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Trojan-Clicker.Win32.Delf.agv”,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1、手動刪除以下文件:
%SystemRoot%\System32\fly1867.dll
%SystemRoot%\system32\flysoft.dll
%SystemRoot%\system32\micsoft.exe
%SystemRoot%\System32\Web.ini
2、手動刪除以下注冊表鍵值:
鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Softfy
鍵:HKEY_CLASSES_ROOT\CLsID\{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
鍵:HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\
{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
SharedTaskScheduler
值: {153FC33C-8D26-4620-ACBA-3371AAC67A23}
數據:flysoft.dll
鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution\[所有劫持]
3、手動修改以下注冊表:
鍵: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
值: StartPage
數據: about:blank
鍵: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
值: Userinit
數據: %SystemRoot%\system32\userinit.exe,
鍵:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
值:path
數據: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%ProgramFiles%\Common Files\Compuware
鍵: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows
值: PopupMgr
數據:no
變量聲明:
%SystemDriver% 系統所在分區,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄,通常為:“C:\ProgramFiles”
病毒分析
(1) 病毒通過創建注冊表相應鍵值,安裝自身初始化及版本相關信息。
(2) 釋放文件%SystemRoot%\System32\fly1867.dll和%SystemRoot%\System32\dllcache\fly1867.dll。
(3) 獲得進程快照,查找ravmond.exe進程,若找到,釋放文件%SystemRoot%\system32\flysoft.dll,通過regsvr32.exe注冊
flysoft.dll。 注冊成功后,創建線程,通過調用%SystemRoot%\system32\rundll32.exe加載fly1867.dll, 并通過修改注冊表,達
到自動運行flysoft.dll的目的。若沒有找到ravmond.exe進程,則在D盤創建目錄flysoft,設置該目錄為隱藏,通過修改注冊表,將
路徑D:\flysoft添加到系統環境變量中,將Userinit執行路徑%SystemRoot%\system32\userinit.exe,修改
為%SystemRoot%\system32\userinit.exe,D:\flysoft,實現病毒自啟動。
(4) 病毒加載fly1867.dll后,提升自身權限,終止殺毒軟件進程,通過創建注冊表,對絕大多數反病毒軟件和工具做映像劫持,并安裝鉤子,截取用戶信息。
(5) 釋放文件D:\micsoft\micsoft.exe和%SystemRoot%\system32\micsoft.exe,并執行%SystemRoot%\system32\micsoft.exe。通過修改該注冊表對應鍵值,達到自動運行D:\micsoft\micsoft.exe的目的,完成后,刪除目錄D:\micsoft。
(6) 將截獲的用戶信息和被感染機器的相關信息發送到指定網址,并下載一個資源配置文件到%SystemRoot%\System32\Web.ini,讀取并訪問文件中指定網址,并通過修改注冊表相應鍵值,使啟動IE時自動打開指定網址,并允許瀏覽器能夠彈出窗口,致使當用IE訪問網站時彈出大量廣告。
(7) 下載新病毒到本地執行,病毒會每隔一段時間對Web.ini配置文件進行更新,完成更多功能。
(8) 在病毒主程序目錄下創建名為afc9fe2f418b00a0.bat的批處理,并執行,刪除病毒自身和afc9fe2f418b00a0.bat。
病毒創建文件:
%SystemRoot%\System32\fly1867.dll
%SystemRoot%\system32\flysoft.dll
%SystemRoot%\system32\micsoft.exe
%SystemRoot%\System32\Web.ini
D:\flysoft
D:\flysoft\micsoft.exe
X:\afc9fe2f418b00a0.bat (X為病毒主程序所在盤符)
病毒刪除文件:
D:\flysoft
D:\flysoft\micsoft.exe
X:\afc9fe2f418b00a0.bat (X為病毒主程序所在盤符)
病毒創建注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Softfy
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
SharedTaskScheduler\ {153FC33C-8D26-4620-ACBA-3371AAC67A23}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution\[映像劫持]
HKEY_CLASSES_ROOT\CLsID\{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\
{8B55FF8B-57EC-7D8B-0881-FF60EA00000F}
病毒修改注冊表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\StartPage
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\path
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\PopupMgr
病毒訪問網絡:
http://www.s***m.com/plug/HtmlPeek.dll
http://www.s***m.com/plug/SoftSize.asp
http://www.s***m.com/CPA/full14/PlugOne/UpdateSoft.asp
http://www.s***m.com/CPA/full14/PlugOne/SoftSize.asp
http://www.s***m.com/CPA/full14/PlugTwo/UpdateSoft.asp
http://www.s***m.com/CPA/full14/PlugTwo/SoftSize.asp
http://www.s***m.com/MainDll/SoftSize.asp
http://www.s***nm.com/MainDll/flymy.dll
http://www.f***yz.com/WebIni3/WebiniUpdate.asp
http://www.f***yz.com/WebIni3/WebIniSize.asp
http://fl***d.com/web/download/
http://www.ha***580.com/XueHu
http://www.f***nload.com
http://www.fy***own.com
http://www.sup***qface.com
http://www.cod***ticle.com
http://www.so***y.com
http://www.h***2580.com
http://www.w***ozhi.com
http://www.fy***z.com
http://www.k***c.cn
